$30 off During Our Annual Pro Sale. View Details »

Go 1.19.1 security fix net/url JoinPath

aboy
September 07, 2022
Programming
1
220

Go 1.19.1 security fix net/url JoinPath

Let's Go Talk #3 で LT した資料です
https://connehito.connpass.com/event/257000/

aboy

September 07, 2022
Tweet

More Decks by aboy

See All by aboy
みんなでエラー監視するSRE夕会の効果_ゆるSRE勉強会1
yuyaabo
0
370
HTTPステータスコードが意図した値にならないとき Let's Go Talk #2
yuyaabo
1
260
OSS貢献を気軽にしたい Let's Go Talk #1
yuyaabo
2
400
困ったときが学びどき.pdf
yuyaabo
0
540
Build dynamic iOS apps with the Create ML framework の要約
yuyaabo
0
920
fastlaneベースでTravis CIからBitriseに移行しました
yuyaabo
0
1.5k
Mixpanelのすゝめ
yuyaabo
0
2.4k
Use model deployment and security with Core MLの要約
yuyaabo
2
460
@cosmeアプリでのRx活用
yuyaabo
0
1.2k

Other Decks in Programming

See All in Programming
Kaggle-Vesuvius-Challenge-Ink-Detection-2nd-Solution
mipypf
0
1.1k
緊急SOS!KubernetesのCompletedな10万Jobぜんぶ消す
tk3fftk
3
460
Scala Left Fold Parallelisation - Three Approaches
philipschwarz
PRO
0
280
JSON & Object Tips
brn
1
160
Open Source - A Journey of Contribution and Collaboration
ivargrimstad
0
1.1k
文系出身・開発未経験エンジニアが 入社から5年間で実践した学習法 〜エンジニアの世界で圧倒的に成長するために〜 (LT) - NIFTY Tech Day 2023
niftycorp
1
150
KDDI共同講演:@niftyメール基盤移行プロジェクト - NIFTY Tech Day 2023
niftycorp
0
140
Kyo - Functional Scala 2023
fwbrasil
0
2.1k
アーキテクチャ刷新の現場 / Scene of architectural renewal
nrslib
6
1.3k
Using AI in Software Design: How ChatGPT Can Help With Creating a Solution Architecture
rdmueller
0
190
AWS IoT FleetWise のアップデートについて
wakatsuki
0
150
ニジエチューニング2023-12
nijieinfra
0
200

Featured

See All Featured
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
16
1.5k
BBQ
matthewcrist
76
8.5k
What’s in a name? Adding method to the madness
productmarketing
PRO
14
2.4k
Build The Right Thing And Hit Your Dates
maggiecrowley
23
1.7k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
39
4k
Building Effective Engineering Teams - LeadDev
addyosmani
22
1.2k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
6
7.4k
Teambox: Starting and Learning
jrom
125
8.2k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
219
21k
Facilitating Awesome Meetings
lara
37
5.2k
A better future with KSS
kneath
230
16k
Fantastic passwords and where to find them - at NoRuKo
philnash
34
2.3k

Transcript

  1. Go 1.19.1 security fix
    net/url JoinPath
    2022/09/07 Let’s Go Talk #3 5min LT
    aboy 

    View Slide

  2. 🎉

    View Slide

  3. security fixes 🤔

    View Slide

  4. 今日は net/url についての話!

    View Slide

  5. net/url JoinPath (Go 1.19)
    - elem を base と結合し ./ や ../ が取り除かれた URL 文字列を返す
    - 内部では url.Parse したあとに URL.JoinPath (Go 1.19) を呼んでいる
    // JoinPath returns a URL string with the provided path elements joined to
    // the existing path of base and the resulting path cleaned of any ./ or ../
    elements.
    func JoinPath(base string, elem ...string) (result string, err error) {
    url, err := Parse(base)
    if err != nil {
    return
    }
    result = url.JoinPath(elem...).String()
    return
    }

    View Slide

  6. どういう問題があった?
    - net/url JoinPath(base string, elem ...string) が相対パスを取り除か
    ないケースがあった
    - base に末尾スラッシュがない場合の ../ パス
    - elem に何も指定しない場合の base パス内
    - ディレクトリトラバーサルにつながる可能性
    - Go 1.19.1 では URL.JoinPath に2点変更が加わった
    fmt.Println(url.JoinPath("https://go.dev", "../go")) // https://go.dev/../go
    fmt.Println(url.JoinPath("https://go.dev/", "../go")) // https://go.dev/go
    fmt.Println(url.JoinPath("https://go.dev/../go")) // https://go.dev/../go

    View Slide

  7. 必ず先頭に / をつけて path.Join を呼ぶようになった
    - path.Join(“”, “../”) は “..”、path.Join(“/”, “../”) は “/” を返す
    ※参考:path.Join のテストケース https://github.com/golang/go/blob/master/src/path/path_test.go#L36

    View Slide

  8. 必ず base のパス含めて path.Join を呼ぶようになった
    - url.JoinPath(“https://go.dev/../go”) のとき /../go をパスとして処理

    View Slide

  9. 参考
    - https://twitter.com/golang/status/1567189780873486337?s=20&t=1NSLbARJbP_DS
    CsVPjJDPw
    - Go 1.19.1 and Go 1.18.6 are released
    - net/url: JoinPath doesn’t strip relative path components in all
    circumstances
    - https://go-review.googlesource.com/c/go/+/423514/
    - https://github.com/golang/go/commit/28335508913a46e05ef0c
    04a18e8a1a6beb775ec
    - https://pkg.go.dev/net/url#JoinPath
    - https://github.com/golang/go/blob/master/src/path/path_test.go

    View Slide