Go言語、3件の脆弱性を修正-1.24.4および1.23.10にアップデートを|セキュリティニュース

投稿日時: 2025年06月10日更新日時: 2025年06月10日

GoogleのGoチームは2025年6月6日、Go言語のセキュリティアップデートとして、バージョン1.24.4および1.23.10をリリースしました。今回のアップデートでは、Web通信、ファイル操作、証明書検証に関わる3件のセキュリティ脆弱性が修正されており、特にネットワーク経由での認証情報漏洩につながる脆弱性が含まれているため、早急なアップデートが推奨されます。

1 対応方法：アップデートの実施と影響確認を
2 CVE-2025-4673：クロスオリジンリダイレクト時にProxy認証情報が漏洩（net/http）
3 CVE-2025-0913：OS間でのシンボリックリンク処理の不整合（os）
4 CVE-2025-22874：x509検証におけるポリシー検証の無効化（crypto/x509）

対応方法：アップデートの実施と影響確認を

今回の脆弱性は、どれもアプリケーションの信頼性やセキュリティポリシーに直接影響を与えるものです。WebアプリケーションやCLIツール、証明書ベースの認証機構をGoで実装している場合は、以下の対応が求められます。

Go 1.24.4 または 1.23.10 へのアップデート
os.OpenFile() に関するユニットテストの見直し（特にWindows環境）
TLS証明書検証処理での KeyUsages の確認
Proxy環境でのヘッダー操作のレビュー

バイナリやソースは以下の公式サイトから入手可能です。

🔗 Go ダウンロードページ
🔗 リリースノート

CVE-2025-4673：クロスオリジンリダイレクト時にProxy認証情報が漏洩（net/http）

最も深刻とされる脆弱性は、net/httpパッケージにおけるクロスオリジンリダイレクト時の挙動に関するものです。HTTPリクエストで使用される Proxy-Authorization および Proxy-Authenticate ヘッダーが、異なるオリジンへリダイレクトされた際にも保持されたまま送信される問題がありました。

この脆弱性を悪用された場合、プロキシ認証情報が第三者に漏洩するおそれがあり、特に悪意のあるリダイレクト先を経由した中間者攻撃（MITM）などに利用される可能性があります。

報告者は、GMOサイバーセキュリティ byイエラエ株式会社のTakeshi Kaneko 氏です。

CVE-2025-0913：OS間でのシンボリックリンク処理の不整合（os）

次に修正されたのは、os.OpenFile() に関する不具合です。ファイルを新規作成する際に O_CREATE|O_EXCL を使うと、UnixとWindowsで挙動が異なっていたことが発覚しました。

具体的には、対象パスが存在しない場所を指すシンボリックリンクであった場合、Unixではファイル作成に失敗しますが、Windowsではそのリンク先に新しいファイルを作成してしまっていました。

この不整合により、シンボリックリンクの悪用による意図しない場所へのファイル作成が可能となり、ファイルシステムの予期しない変更や情報の露出につながるリスクがありました。

韓国KAIST Hacking LabのJunyoung Park氏とDong-uk Kim氏により報告されました。

CVE-2025-22874：x509検証におけるポリシー検証の無効化（crypto/x509）

最後の脆弱性は、X.509証明書チェーンの検証に関連するもので、VerifyOptions.KeyUsages に ExtKeyUsageAny を含めた場合、本来有効であるべきポリシー検証がスキップされてしまうという問題です。

この問題は、TLS証明書における利用用途の制限や、信頼された認証局（CA）ポリシーに違反する証明書が通過してしまう可能性をはらんでいます。一般的な利用ケースでは影響が限定的とされるものの、CA/Browser Forumのベースライン要件への準拠に関わるため、正確な証明書運用を行うシステムでは注意が必要です。

Teleport社のKrzysztof Skrzętnicki（@Tener）氏によって発見されました。