つみかさね

CVE-2026-27143

Critical(9.8)

CVE-2026-27143 — Goコンパイラ ループ誘導変数の算術オーバーフロー

公開日: 2026-04-18データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
GoGoogleCL 763765 適用前

対応ガイド

high|対応必須セキュリティ修正影響: 極めて広範

推奨アクション

  1. 1使用中のGoバージョンを確認する(go version)
  2. 2修正パッチ(CL 763765)が含まれるGoバージョンへアップデートする
  3. 3修正済みGoコンパイラでアプリケーションを再コンパイルする

影響対象

Goで開発されたすべてのアプリケーション

補足

  • -Goでビルドされたバイナリはすべて潜在的に影響を受けるため、再コンパイルが必要

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

G
Go のリリース情報 →
CVEGoコンパイラメモリ破壊オーバーフロー

概要

Go コンパイラにおいて、ループ内の誘導変数(induction variables)に対する算術演算のオーバーフローおよびアンダーフローが正しく検査されない脆弱性が存在します。この不備により、コンパイラが実行時に不正なインデックスアクセスを許容し、メモリ破壊が発生する可能性があります。

Go でコンパイルされたすべてのプログラムが潜在的に影響を受けるため、影響範囲は極めて広いです。

CVSSベクトル

項目
CVSS v3 スコア9.8(Critical)
攻撃元区分(AV)ネットワーク
攻撃条件の複雑さ(AC)
必要な特権(PR)不要
ユーザー関与(UI)不要
影響の範囲変更なし
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)

影響を受けるソフトウェア

製品ベンダー影響バージョン修正バージョン
GoGoogleCL 763765 適用前のバージョンCL 763765 適用済みバージョン

修正バージョンと回避策

  • 修正: Go の最新リリースへアップデートし、修正(CL 763765)が含まれるバージョンを使用する
  • 回避策: 修正済みバージョンの Go で再コンパイルする。ループ内で誘導変数を使用したインデックスアクセスを行うコードに注意する
  • 確認方法: go version で現在のバージョンを確認し、Go の脆弱性データベース(GO-2026-4868)を参照

関連リンク

データソース: NVD (NIST), Go Vulnerability Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-27143
Go:https://go.dev/cl/763765
Go:https://go.dev/issue/78333
Go:https://pkg.go.dev/vuln/GO-2026-4868
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。