Go1.18.1 发布

大家好，周末愉快！

Go Team 发布了 Go1.18.1 和 Go1.17.9 两个小版本，这是安全更新版本，主要解决了 3 个安全问题。

1）encoding/pem

修复 Decode 中的堆栈溢出。

大（超过 5 MB）PEM 输入会导致 Decode 中的堆栈溢出，进而导致程序崩溃。

这是 CVE-2022-24675 和 https://go.dev/issue/51853。

2）crypto/elliptic：tolerate all oversized scalars in generic P-256

超过 32 个字节的精心设计的标量输入可能导致 P256().ScalarMult 或 P256().ScalarBaseMult 恐慌。通过 crypto/ecdsa 和 crypto/tls 的间接使用不受影响。amd64、arm64、ppc64le 和 s390x 不受影响。

这是 CVE-2022-28327 和 https://go.dev/issue/52075。

3）crypto/x509

不合规的证书可能会导致 Go 1.18 中的 macOS 上的验证出现恐慌。

验证包含不符合 RFC 5280 的证书的证书链会导致 Certificate.Verify 在 macOS 上出现恐慌。

这些链可以通过 TLS 传递，并可能导致 crypto/tls 或 net/http 客户端崩溃。

这是 CVE-2022-27536 和 https://go.dev/issue/51759。

如果你使用了上述包，建议升级。https://studygolang.com/dl 为你准备好包供你下载。