Go 官方发布了 Go1.22.5 和 1.21.12,这是小版本更新,包含 1 个安全修复。
net/http:由于不正确的 100-continue 处理导致拒绝服务
net/http HTTP/1.1 客户端对服务器用“Expect: 100-continue”头响应请求并返回非信息性(200 或更高)状态的情况处理不当。这种处理不当可能会使客户端连接处于无效状态,导致在该连接上发送的下一个请求失败。
攻击者向 net/http/httputil.ReverseProxy 代理发送请求时,可以利用这种处理不当,通过发送引发后端非信息性响应的“Expect: 100-continue”请求来造成拒绝服务。每个这样的请求都会使代理留下无效连接,并导致使用该连接的一个后续请求失败。
Geoff Franks 报告此 Bug:<https://go.dev/issue/67555>。
Go 语言中文网为大家提供了最新安装包供大家下载:https://studygolang.com/dl。
有疑问加站长微信联系(非本文作者)
