というわけで Go 言語の net/http パッケージに脆弱性が発見された模様。
net/http パッケージを使っている製品は最新バージョンで再コンパイルすること。可能であれば 1.5 系を使うのが望ましい。諸事情で 1.5 系が使えない場合は,リリースされた 1.4.3 を使ってもよい。
影響度
“access.redhat.com | CVE-2015-5739” より
CVE-2015-5739 CVE-2015-5740 CVE-2015-5741 golang: HTTP request smuggling in net/http library
CVSS 基本値 6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P) (暫定値)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分(AV) | ネットワーク(N) |
| 攻撃条件の複雑さ(AC) | 中(M) |
| 攻撃前の認証要否(Au) | 不要(N) |
| 情報漏えいの可能性(機密性への影響, C) | 部分的(P) |
| 情報改ざんの可能性(完全性への影響, I) | 部分的(P) |
| 業務停止の可能性(可用性への影響, A) | 部分的(P) |
CVSS についてはデモページを参照のこと。