Go1.18.1 發(fā)布

大家好，周末愉快！

Go Team 發(fā)布了 Go1.18.1 和 Go1.17.9 兩個小版本，這是安全更新版本，主要解決了 3 個安全問題。

1）encoding/pem

修復(fù) Decode 中的堆棧溢出。

大（超過 5 MB）PEM 輸入會導(dǎo)致 Decode 中的堆棧溢出，進而導(dǎo)致程序崩潰。

這是 CVE-2022-24675 和 https://go.dev/issue/51853。

2）crypto/elliptic：tolerate all oversized scalars in generic P-256

超過 32 個字節(jié)的精心設(shè)計的標量輸入可能導(dǎo)致 P256().ScalarMult 或 P256().ScalarBaseMult 恐慌。通過 crypto/ecdsa 和 crypto/tls 的間接使用不受影響。amd64、arm64、ppc64le 和 s390x 不受影響。

這是 CVE-2022-28327 和 https://go.dev/issue/52075。

3）crypto/x509

不合規(guī)的證書可能會導(dǎo)致 Go 1.18 中的 macOS 上的驗證出現(xiàn)恐慌。

驗證包含不符合 RFC 5280 的證書的證書鏈會導(dǎo)致 Certificate.Verify 在 macOS 上出現(xiàn)恐慌。

這些鏈可以通過 TLS 傳遞，并可能導(dǎo)致 crypto/tls 或 net/http 客戶端崩潰。

這是 CVE-2022-27536 和 https://go.dev/issue/51759。

如果你使用了上述包，建議升級。https://studygolang.com/dl 為你準備好包供你下載。