The Go Projectのcryptoにおける認証の欠如に関する脆弱性

JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-017386 The Go Projectのcryptoにおける認証の欠如に関する脆弱性 NewKeyring()によって返されるインメモリのキーリングは、ConfirmBeforeUse制約を持つキーを黙って受け入れていましたが、その制約を強制しませんでした。そのキーは確認プロンプトなしで署名を行い、制約が適用されていないことを呼び出し元に示しませんでした。現在、NewKeyring()はサポートされていない制約が要求された場合にエラーを返します。 cpe:/a:golang:crypto https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-017386.html Common Vulnerabilities and Exposures (CVE) CVE-2026-39833 https://www.cve.org/CVERecord?id=CVE-2026-39833 National Vulnerability Database (NVD) CVE-2026-39833 https://nvd.nist.gov/vuln/detail/CVE-2026-39833 Go GO-2026-5005 - Go Packages https://pkg.go.dev/vuln/GO-2026-5005 JVNDB CWE-862 認証の欠如 https://cwe.mitre.org/data/definitions/862.html 関連文書 ssh/agent: preserve constraint extensions when adding keys (778640) Gerrit Code Review https://go.dev/cl/778640 関連文書 ssh/agent: don't accept keys with unsupported constraints (778641) Gerrit Code Review https://go.dev/cl/778641 関連文書 x/crypto/ssh/agent: `lifetime` without `confirm` constraint Issue #79436 golang/go https://go.dev/issue/79436 関連文書 [security] Vulnerabilities in golang.org/x/crypto https://groups.google.com/g/golang-announce/c/a082jnz-LvI 2026-06-03T15:36:55+09:00 2026-06-03T15:36:55+09:00