Go 1.12.8 和 Go 1.11.13 发布:解决安全问题

polaris · · 1426 次点击 · 开始浏览    置顶
这是一个创建于 的主题,其中的信息可能已经有所发展或是发生改变。
8月14日发布了Go 1.12.8 和 Go 1.11.13 来解决最近报告的安全问题。我们建议所有用户更新到其中一个版本(如果您不确定哪个版本,请选择Go 1.12.8)。 - net/http:接受来自不受信任客户端的直接连接的 HTTP/2实现 net/http 和 [golang.org/x/net/http2](http://golang.org/x/net/http2) 服务器中的拒绝服务漏洞可以远程进行分配无限量的内存,直到程序崩溃。如果发送队列累积了太多控制消息,服务器现在将关闭连接。 这个 issue 是 CVE-2019-9512 和 CVE-2019-9514,以及 Go issue [golang.org/issue/33606](https://github.com/golang/go/issue/33606)。 感谢 Netflix 的 Jonathan Looney 发现并报告了这些问题。 [golang.org/x/net/http2](https://golang.org/x/net/http2) 版本 v0.0.0-20190813141303-74dc4d7220e7 中也修复了此问题。 - net/url:解析验证问题 url.Parse 会接受具有格式错误的主机的 URL,这样 Host 字段可能具有任何后缀,这些后缀既不会出现在 Hostname() 也不会出现在 Port() 中,从而允许在某些应用程序中绕过授权。请注意,具有无效而非数字端口的 URL 现在将从 url.Parse 返回错误。 这个 issue 是 CVE-2019-14809 和 Go issue 的 [golang.org/issue/29098](https://github.com/golang/go/issue/29098)。 感谢来自 Cure53 的 Julian Hector 和 Nikolai Kerin 以及 Adi Cohen(adico.me)发现和报告此问题。 有关所有支持的平台,请访问 https://studygolang.com/dl。

有疑问加站长微信联系(非本文作者)

入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:1006366459

1426 次点击  
加入收藏 微博
1 回复  |  直到 2019-08-16 09:56:32
暂无回复
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传