大家好,我是站长 polarisxu。
近日 Go 1.23.1 和 Go 1.22.7 这两个小版本正式发布。此次发布主要包含了根据安全策略进行的三个重要安全修复。
在 go/parser 中,所有 Parse * 函数存在栈溢出问题。当对包含深度嵌套字面量的 Go 源代码调用任何 Parse 函数时,可能会因栈耗尽而引发 panic,此问题对应 CVE-2024-34155 和 Go 问题 https://go.dev/issue/69138。
encoding/gob 模块的 Decoder.Decode 也出现了栈溢出情况。如果在包含深度嵌套结构的消息上调用 Decoder.Decode,同样会因栈耗尽导致 panic,这是对 CVE-2022-30635 的后续修复,同时要感谢俄亥俄州立大学的 Md Sakib Anwar 报告此问题,对应 CVE-2024-34156 和 Go 问题 https://go.dev/issue/69139。
此外,go/build/constraint 中的 Parse 在处理包含深度嵌套表达式的 “// +build” 构建标签行时,也可能因栈耗尽而引发 panic,这是 CVE-2024-34158 和 Go 问题 https://go.dev/issue/69141。
你可以按照官方推方式更新:
Go语言中文网也为大家准备了最新的安装包:<https://studygolang.com/dl>
有疑问加站长微信联系(非本文作者)
