Go 语言团队刚刚发布了 Go 1.22.4 和 Go1.21.11,这是一个包含两个重要安全修复的小版本更新。
## 安全更新详情
1. **archive/zip 包的安全修复**
- **问题描述**:archive/zip 包在处理某些类型的无效 zip 文件时,其行为与其他大多数 zip 实现不一致。这种不一致可能被利用来创建 zip 文件,其内容取决于读取文件的实现方式。
- **修复措施**:archive/zip 包现在会拒绝包含这些错误的文件。
- **贡献者**:Yufan You (@ouuan)。
- **相关链接**:这是 CVE-2024-24789,Go 问题跟踪链接为 [https://go.dev/issue/66869](https://go.dev/issue/66869)。
2. **net/netip 包的预期外行为修复**
- **问题描述**:各种 Is 方法(如 IsPrivate, IsLoopback 等)对于 IPv4-mapped IPv6 地址没有按预期工作,对于在传统 IPv4 形式下返回 true 的地址,它们返回了 false。
- **贡献者**:Alioth 的 Enze Wang (@zer0yu) 和中关村实验室的 Jianjun Chen (@chenjj) 报告此问题。
- **相关链接**:这是 CVE-2024-24790,Go 问题跟踪链接为 [https://go.dev/issue/67680](https://go.dev/issue/67680)。
## 版本获取方式:
Go 语言中文网为大家提供了最新版本的下载地址:<https://studygolang.com>。
有疑问加站长微信联系(非本文作者)
