433
社区成员
发帖
与我相关
我的任务
分享Go 1.12.8 和 Go 1.11.13 发布:解决安全问题
8月14日发布了Go 1.12.8 和 Go 1.11.13 来解决最近报告的安全问题。我们建议所有用户更新到其中一个版本(如果您不确定哪个版本,请选择Go 1.12.8)。
- net/http:接受来自不受信任客户端的直接连接的 HTTP/2实现
net/http 和 [golang.org/x/net/http2](http://golang.org/x/net/http2) 服务器中的拒绝服务漏洞可以远程进行分配无限量的内存,直到程序崩溃。如果发送队列累积了太多控制消息,服务器现在将关闭连接。
这个 issue 是 CVE-2019-9512 和 CVE-2019-9514,以及 Go issue [golang.org/issue/33606](https://github.com/golang/go/issue/33606)。
感谢 Netflix 的 Jonathan Looney 发现并报告了这些问题。
[golang.org/x/net/http2](https://golang.org/x/net/http2) 版本 v0.0.0-20190813141303-74dc4d7220e7 中也修复了此问题。
- net/url:解析验证问题
url.Parse 会接受具有格式错误的主机的 URL,这样 Host 字段可能具有任何后缀,这些后缀既不会出现在 Hostname() 也不会出现在 Port() 中,从而允许在某些应用程序中绕过授权。请注意,具有无效而非数字端口的 URL 现在将从 url.Parse 返回错误。
这个 issue 是 CVE-2019-14809 和 Go issue 的 [golang.org/issue/29098](https://github.com/golang/go/issue/29098)。
感谢来自 Cure53 的 Julian Hector 和 Nikolai Kerin 以及 Adi Cohen(adico.me)发现和报告此问题。
有关所有支持的平台,请访问 https://studygolang.com/dl。
- net/http:接受来自不受信任客户端的直接连接的 HTTP/2实现
net/http 和 [golang.org/x/net/http2](http://golang.org/x/net/http2) 服务器中的拒绝服务漏洞可以远程进行分配无限量的内存,直到程序崩溃。如果发送队列累积了太多控制消息,服务器现在将关闭连接。
这个 issue 是 CVE-2019-9512 和 CVE-2019-9514,以及 Go issue [golang.org/issue/33606](https://github.com/golang/go/issue/33606)。
感谢 Netflix 的 Jonathan Looney 发现并报告了这些问题。
[golang.org/x/net/http2](https://golang.org/x/net/http2) 版本 v0.0.0-20190813141303-74dc4d7220e7 中也修复了此问题。
- net/url:解析验证问题
url.Parse 会接受具有格式错误的主机的 URL,这样 Host 字段可能具有任何后缀,这些后缀既不会出现在 Hostname() 也不会出现在 Port() 中,从而允许在某些应用程序中绕过授权。请注意,具有无效而非数字端口的 URL 现在将从 url.Parse 返回错误。
这个 issue 是 CVE-2019-14809 和 Go issue 的 [golang.org/issue/29098](https://github.com/golang/go/issue/29098)。
感谢来自 Cure53 的 Julian Hector 和 Nikolai Kerin 以及 Adi Cohen(adico.me)发现和报告此问题。
有关所有支持的平台,请访问 https://studygolang.com/dl。
...全文
请发表友善的回复…
发表回复
weixin_38092066 2019-09-20
- 打赏
- 举报
有点尴尬,Go 今天又发布了 Go1.12.9~
