Go 1.23.1 和 Go1.22.7 发布

polaris · · 1019 次点击 · 开始浏览    置顶

大家好,我是站长 polarisxu。 近日 Go 1.23.1 和 Go 1.22.7 这两个小版本正式发布。此次发布主要包含了根据安全策略进行的三个重要安全修复。 在 go/parser 中,所有 Parse * 函数存在栈溢出问题。当对包含深度嵌套字面量的 Go 源代码调用任何 Parse 函数时,可能会因栈耗尽而引发 panic,此问题对应 CVE-2024-34155 和 Go 问题 https://go.dev/issue/69138。 encoding/gob 模块的 Decoder.Decode 也出现了栈溢出情况。如果在包含深度嵌套结构的消息上调用 Decoder.Decode,同样会因栈耗尽导致 panic,这是对 CVE-2022-30635 的后续修复,同时要感谢俄亥俄州立大学的 Md Sakib Anwar 报告此问题,对应 CVE-2024-34156 和 Go 问题 https://go.dev/issue/69139。 此外,go/build/constraint 中的 Parse 在处理包含深度嵌套表达式的 “// +build” 构建标签行时,也可能因栈耗尽而引发 panic,这是 CVE-2024-34158 和 Go 问题 https://go.dev/issue/69141。 你可以按照官方推方式更新: ![go1.23.1.png](https://static.golangjob.cn/240907/b99de8773fa280c26b50400762018a9a.png) Go语言中文网也为大家准备了最新的安装包:<https://studygolang.com/dl>

有疑问加站长微信联系(非本文作者)

入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:692541889

1019 次点击  
加入收藏 微博
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传