大家好,周末愉快!
Go Team 发布了 Go1.18.1 和 Go1.17.9 两个小版本,这是安全更新版本,主要解决了 3 个安全问题。
1)encoding/pem
修复 Decode 中的堆栈溢出。
大(超过 5 MB)PEM 输入会导致 Decode 中的堆栈溢出,进而导致程序崩溃。
这是 CVE-2022-24675 和 https://go.dev/issue/51853。
2)crypto/elliptic:tolerate all oversized scalars in generic P-256
超过 32 个字节的精心设计的标量输入可能导致 P256().ScalarMult 或 P256().ScalarBaseMult 恐慌。通过 crypto/ecdsa 和 crypto/tls 的间接使用不受影响。amd64、arm64、ppc64le 和 s390x 不受影响。
这是 CVE-2022-28327 和 https://go.dev/issue/52075。
3)crypto/x509
不合规的证书可能会导致 Go 1.18 中的 macOS 上的验证出现恐慌。
验证包含不符合 RFC 5280 的证书的证书链会导致 Certificate.Verify 在 macOS 上出现恐慌。
这些链可以通过 TLS 传递,并可能导致 crypto/tls 或 net/http 客户端崩溃。
这是 CVE-2022-27536 和 https://go.dev/issue/51759。
如果你使用了上述包,建议升级。https://studygolang.com/dl 为你准备好包供你下载。
推荐阅读
文章评论