概要
Goチームは2026年4月7日、セキュリティ修正を含むGo 1.26.2およびGo 1.25.9をリリースした。今回のリリースではcrypto/tls、crypto/x509、html/template、archive/tar、cmd/go、cmd/compile、internal/syscall/unixに影響する計10件のCVEが修正されており、インターネット公開サービスを運用している開発者にとっては優先度の高いアップデートとなる。両バージョンは同日に公開されており、それぞれGo 1.26系および1.25系の現在のサポートラインに対応している。
修正された脆弱性の詳細
暗号・TLS関連(4件)
crypto/x509では3件の脆弱性が修正された。CVE-2026-32280は、VerifyOptions.Intermediatesに大量の中間証明書が渡された場合にチェーン構築処理が適切に制限されずDoSを引き起こす問題。CVE-2026-32281は、ポリシーマッピングを含む証明書チェーン検証における二乗オーダーの計算量問題であり、悪意ある証明書によってサービス拒否が発生する。CVE-2026-33810は、DNS名制約の検証においてワイルドカードSANの大文字小文字の違いにより制約チェックがバイパスされる問題で、証明書の制約を迂回した不正なTLS接続が成立する恐れがある。
crypto/tlsではCVE-2026-32283が修正された。TLS 1.3接続においてハンドシェイク後に複数のキー更新メッセージが連続して送信されると、リソースの制御されない消費が発生しデッドロック状態に陥るDoS脆弱性で、サーバー側が外部からの接続を受け付けるユースケースでリスクが高い。
コンパイラ関連(2件)
CVE-2026-27143はcmd/compileにおける帰納変数の算術演算に対するオーバーフロー・アンダーフローチェックの不備で、ループ内での無効なインデックスアクセスが見逃されることでメモリ破損が生じる可能性がある。CVE-2026-27144も同じくコンパイラの問題で、メモリ移動操作においてポインタの展開処理が失敗し、重複しない移動の判定が誤ることでメモリ破損を引き起こす。いずれもコンパイラレベルの問題であり、特定のコードパターンでビルドされたバイナリが影響を受け得る。
その他の標準ライブラリ(4件)
CVE-2026-32289はhtml/templateでのXSS脆弱性。JavaScriptテンプレートリテラル内でコンテキストが正しく追跡されず不正確なエスケープ処理が行われることで、悪意あるスクリプトが注入される恐れがある。CVE-2026-32288はarchive/tarで、旧来のGNUスパース形式で記述された悪意あるアーカイブを読み込む際に無制限のメモリ割り当てが発生するDoS脆弱性。CVE-2026-32282はinternal/syscall/unix(Linux)におけるRoot.Chmodのシンボリックリンクトラバーサル問題で、処理中にターゲットがシンボリックリンクに置き換えられると想定外のパスに対して操作が行われる。CVE-2026-27140はcmd/goにおいてSWIGファイル名にcgoを含む場合にビルド時の信頼層がバイパスされ、任意コードが実行される可能性がある問題だ。
アップデートの優先度と対応方針
今回のリリースにはDoS、メモリ破損、XSS、任意コード実行など多様な種別の脆弱性が含まれており、外部からのリクエストを処理するサービスや信頼できないデータを扱うアプリケーションでは早急なアップデートが推奨される。特にTLS接続を受け付けるサーバー(CVE-2026-32283)やHTMLテンプレートを使用するWebアプリケーション(CVE-2026-32289)、証明書検証を行うサービス(CVE-2026-32280、CVE-2026-32281、CVE-2026-33810)は優先的に対応すべき対象となる。go get go@1.26.2またはgo get go@1.25.9でアップデートが可能で、Go 1.26系を使用するプロジェクトはgo1.26.2に、Go 1.25系はgo1.25.9への更新が推奨される。