Go Team 北京时间 7 月 15 日发布了 Go 1.14.5 和 Go 1.13.13,以解决两个最近报告的安全问题。我们建议所有用户更新到以下版本之一(如果不确定哪个版本,请选择 Go 1.14.5)。
- 某些 net/http 服务器(包括 ReverseProxy)中的数据争用。处理程序同时读取请求主体并写入响应的服务器可能会遇到数据争用和崩溃。httputil.ReverseProxy 处理程序受到影响。感谢 Mikael Manukyan,Andrew Kutz,Dave McClure,Tim Downey,Clay Kauzlaric和Gabe Rosenhouse 报告了此问题。
- X.509 验证会忽略 Windows 上提供的EKU。
即将发布的 Go 1.15rc1 版本还将包含上述修复程序。
关于这两个问题的相信信息见:https://github.com/golang/go/issues?q=milestone%3AGo1.14.5+label%3ACherryPickApproved
另外,Andy Lindeman 发现了现在已修复的 pkg.go.dev 中的跨站点脚本漏洞和 CSP 问题。
紧接着北京时间 7 月 17 日凌晨发现又发布了 Go 1.14.6。相比之下,Go 1.14.6 修复的 Bug 较多,有 12 个。具体见 [issue 列表](https://github.com/golang/go/issues?q=milestone%3AGo1.14.6+label%3ACherryPickApproved)。
目测应该是上个版本的安全性问题严重,而这些非安全性的修复又没有完全完成,因此先发布了修复安全问题的版本,随后发布非安全问题的版本。
本站提供下载:<https://studygolang.com/dl>
有疑问加站长微信联系(非本文作者)
