Go1.18.1 发布

Go语言精选

共 889字,需浏览 2分钟

 ·

2022-04-18 02:55

点击上方蓝色“Go语言中文网”关注,每天一起学 Go

大家好,周末愉快!

Go Team 发布了 Go1.18.1 和 Go1.17.9 两个小版本,这是安全更新版本,主要解决了 3 个安全问题。

1)encoding/pem

修复 Decode 中的堆栈溢出。

大(超过 5 MB)PEM 输入会导致 Decode 中的堆栈溢出,进而导致程序崩溃。

这是 CVE-2022-24675 和 https://go.dev/issue/51853。

2)crypto/elliptic:tolerate all oversized scalars in generic P-256

超过 32 个字节的精心设计的标量输入可能导致 P256().ScalarMult 或 P256().ScalarBaseMult 恐慌。通过 crypto/ecdsa 和 crypto/tls 的间接使用不受影响。amd64、arm64、ppc64le 和 s390x 不受影响。

这是 CVE-2022-28327 和 https://go.dev/issue/52075。

3)crypto/x509

不合规的证书可能会导致 Go 1.18 中的 macOS 上的验证出现恐慌。

验证包含不符合 RFC 5280 的证书的证书链会导致 Certificate.Verify 在 macOS 上出现恐慌。

这些链可以通过 TLS 传递,并可能导致 crypto/tls 或 net/http 客户端崩溃。

这是 CVE-2022-27536 和 https://go.dev/issue/51759。


如果你使用了上述包,建议升级。https://studygolang.com/dl 为你准备好包供你下载。



推荐阅读


福利

我为大家整理了一份从入门到进阶的Go学习资料礼包,包含学习建议:入门看什么,进阶看什么。关注公众号 「polarisxu」,回复 ebook 获取;还可以回复「进群」,和数万 Gopher 交流学习。

浏览 33
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报