分享
这是一个创建于 的主题,其中的信息可能已经有所发展或是发生改变。
大家好,我是站长 polarisxu。
近日 Go 1.23.1 和 Go 1.22.7 这两个小版本正式发布。此次发布主要包含了根据安全策略进行的三个重要安全修复。
在 go/parser 中,所有 Parse * 函数存在栈溢出问题。当对包含深度嵌套字面量的 Go 源代码调用任何 Parse 函数时,可能会因栈耗尽而引发 panic,此问题对应 CVE-2024-34155 和 Go 问题 https://go.dev/issue/69138。
encoding/gob 模块的 Decoder.Decode 也出现了栈溢出情况。如果在包含深度嵌套结构的消息上调用 Decoder.Decode,同样会因栈耗尽导致 panic,这是对 CVE-2022-30635 的后续修复,同时要感谢俄亥俄州立大学的 Md Sakib Anwar 报告此问题,对应 CVE-2024-34156 和 Go 问题 https://go.dev/issue/69139。
此外,go/build/constraint 中的 Parse 在处理包含深度嵌套表达式的 "// +build" 构建标签行时,也可能因栈耗尽而引发 panic,这是 CVE-2024-34158 和 Go 问题 https://go.dev/issue/69141。
你可以按照官方推方式更新:
Go语言中文网也为大家准备了最新的安装包:<https://studygolang.com/dl>
有疑问加站长微信联系(非本文作者)
入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:692541889
关注微信2067 次点击
添加一条新回复
(您需要 后才能回复 没有账号 ?)
- 请尽量让自己的回复能够对别人有帮助
- 支持 Markdown 格式, **粗体**、~~删除线~~、
`单行代码` - 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
- 图片支持拖拽、截图粘贴等方式上传