Go 1.19.3 和 1.18.8 发布,修复安全问题


Go 1.19.3 和 1.18.8 已发布。

公告写道,这两个版本均包含 1 个遵循安全策略的安全修复,包括对os/execsyscall软件包的安全修复,以及对运行时的错误修复。

  • syscall, os/exec:环境变量中存在 unsanitized NUL

在 Windows 上,syscall.StartProcess 和 os/exec.Cmd 没有正确检查无效的环境变量值,导致恶意环境变量值可以利用此行为为不同的环境变量设置值。例如,环境变量字符串"A=B\x00C=D"可用于设置变量 "A=B" 和 "C=D"。

详情查看 Release Note。

Go 开发团队 leader Russ Cox 表示,这次的安全修复与 OpenSSL CRITICAL 安全补丁版本无关。因为 Go 团队并不对发布的安全补丁的严重性进行分类,毕竟严重性在本质上是与用户所处环境相关的。也就是说,这次的安全修复最坏的情况下也不会被 OpenSSL 评为“严重”。因此,如果开发者需要确定优先次序,可以先处理OpenSSL的问题。


相關推薦

2022-12-09

Go 1.19.3 和 1.18.8 已发布。这些次要版本包括 2 个遵循安全策略的安全修复程序: os, net/http:避免在 Windows 上从 os.DirFS 和 http.Dir 转义 os.DirFS 函数和 http.Dir 类型提供对以给定目录为根的文件树的访问。 这些函数允许访问该

2023-05-18

在这个版本中,我们主要升级并调整了多种语言类型的构建包版本, 并支持了直接删除应用以及应用下的所有资源。 各语言源码构建包版本升级 Rainbond 支持一键将源码构建成镜像并运行起来,但在之前的版本中,部分语言支持

2023-04-06

Go 1.20.3 和 1.19.8 已发布。 两个版本的更新内容都是修复安全问题,包括对 go/parser, html/template, mime/multipart, net/http 和 net/textproto 软件包的安全修复,以及对编译器、链接器、运行时和时间软件包的错误修复。 详情查看 Release

2023-05-05

Go 1.20.4 和 1.19.9 已发布。根据公告,此次更新仍是修复安全问题。 Go 1.20.4 主要修复了以下 3 个安全相关的问题: html/template: 对 CSS 值处理不当 (CVE-2023-24539) 当插入到 CSS 上下文中时,尖括号(<>)不被认为是危险字符。

2022-09-08

Go1.19.1 已发布,此版本包含对net/http 和 net/url 包的安全修复,以及对编译器、go命令、pprof命令、链接器、运行时和 crypto/tls / crypto/x509包的错误修复。 下面是该版本修复的部分 Bug: cmd/go:使用 unix 构建约束导入依赖项时出现

2022-11-09

程语言提供了丰富的语言支持。 VS Code Go v0.36 近日正式发布,更新内容如下: 变化 从这个版本开始,该扩展将下载用 "Go: Install/Update Tools" 命令安装的第三方工具的特定版本。这是为了提高稳定性和安全性。Go: Install/Upate Too

2023-08-07

可能更难监控。使用 GOPROXY 协议作为 crutch 的工具将错过发布到版本控制系统的最新版本,而这些正是最有可能发起供应链攻击的软件包。 No lockfile:go.sum文件不是 lockfile,而是 Go 抵御 VCS 存储库和模块代理中被劫持的版本标

2022-09-13

Go 博客发布了 2022 年第二季度 Go 开发者调查报告。据介绍,总共有 5752 名开发者参与了本次调查,分享了他们使用 Go 1.18 中新特性的经验和心得。 主要发现 泛型已被迅速采用。大多数受访者都知道 Go 1.18 已正式支持泛型

2024-03-05

解决黑名单无效的问题 增加ignoreMissingConfig配置 个人白名单默认设置成关闭 修复解除好友关系后还能聊天的问题 如果指定了配置文件的路径,如果配置文件不存在则程序应该崩溃 升级WuKongIM协议 slave设备如果deviceID

2023-06-15

程语言提供了丰富的语言支持。 VS Code Go v0.39 近日正式发布,更新内容如下: 变化 增加了 go.showWelcome 设置,控制是否显示欢迎页面 当 go.toolsManagement.go 设置无效并被忽略时,报告 删除了 go.languageServerExperimentalFeatures 设

2023-10-09

Go 近日发布了 Go 1.21.2 和 Go 1.20.9 两个小版本。 Go 1.21.2 是 1.21 的第 2 个安全补丁,主要涉及一个安全更新: cmd/go:line 指令允许在构建期间任意执行 根据 issue 的描述,"//line" 指令可用于绕过对 "//go:cgo_" 指令的限制,允

2023-01-27

Proxy 是 golang 实现的高性能 http、https、websocket、tcp、udp、socks5 代理服务器,支持正向代理、反向代理、透明代理、内网穿透、TCP/UDP 端口映射、SSH 中转、TLS 加密传输、协议转换、DNS 防污染智能代理、前置 CDN/Nginx 反代、代理

2022-09-08

Go 安全团队宣布了管理漏洞的新项目——用于帮助 Go 开发者了解可能会影响他们的已知漏洞。 该项目由三部分构成: 漏洞数据源 (Data Sources) Go 漏洞数据库 (Go Vulnerability Database) 工具和集成 (Tools & Integrations) Go 漏洞

2023-05-18

Go 博客发布了 2023 年第一季度 Go 开发者调查。共 5,844 名开发者参与了本次调查,分享了他们有关如何使用 Go、在使用 Go 时遇到的最大挑战、以及他们首要考虑的改进方向等方面的内容。 今年的调查引入了一个基于自我认定的