Goプログラミング言語チームは、バージョン1.25.6および1.24.12向けのセキュリティ更新を公開し、サービス拒否(DoS)攻撃、メモリ枯渇、任意コード実行にまたがる6件の重大な脆弱性に対処しました。
これらのパッチは、予定されたマイナーリリースを通じて、コミット済みのセキュリティ特性の違反に対処するGoのPRIVATEトラックのセキュリティポリシーに従っています。
最も深刻な欠陥はarchive/zipパッケージ(CVE-2025-61728)に影響し、ZIPアーカイブ内のファイルを開く際に、超線形のファイル名インデックス作成アルゴリズムが作動します。
攻撃者は、計算資源の枯渇によってサービス拒否を引き起こす悪意のあるアーカイブを作成できます。セキュリティ研究者のJakub Ciolekがこの脆弱性を発見し、最新リリースで修正されています。
2つ目のメモリ枯渇の問題(CVE-2025-61726)は、net/httpのRequestのparseForm関数に影響します。
多数のキー・バリューペアを含むURLエンコードフォームを処理する際、パーサーが過剰なメモリを割り当て、DoS状態につながります。
研究者jub0bsがこの脆弱性を報告し、パッチ適用版では迅速な緩和措置が講じられました。
さらに、サーバー側の実装はセッション再開時にリーフ証明書の有効期限のみを検証し、期限切れの中間証明書やルート証明書を無視していました。両方の問題はCoia Prantによって報告されました。
3つ目のTLSの欠陥(CVE-2025-61730)では、複数のメッセージが暗号化境界をまたぐ場合に、誤った暗号化レベルでハンドシェイクメッセージが処理されることがあり、ネットワーク近傍の攻撃者に情報が露出する可能性がありました。
ツールチェーンは現在、「-」または「/」文字で始まるバージョン文字列を許可しません。この脆弱性はDEVCORE Research TeamのSplitlineによって発見されました。lnerability was discovered by splitline from DEVCORE Research Team.
翻訳元: https://cyberpress.org/go-1-26-patches-memory-exhaustion-vulnerabilities/