Go 1.20.4 & 1.19.9 发布


Go 1.20.4 和 1.19.9 已发布。根据公告,此次更新仍是修复安全问题。

Go 1.20.4 主要修复了以下 3 个安全相关的问题:

  • html/template: 对 CSS 值处理不当 (CVE-2023-24539)

当插入到 CSS 上下文中时,尖括号(<>)不被认为是危险字符。包含由'/'字符分隔的多个操作的模板可能导致意外关闭 CSS 上下文,并允许在不受信任的输入下注入意外的 HTML 代码。

  • html/template: 对 JavaScript 空格处理不当 (CVE-2023-24540)

并非所有有效的 JavaScript 空白字符都被认为是空白。在 JavaScript 上下文中,包含字符集 "\t\n\f\r\u0020\u2028\u2029" 之外的空白字符的模板,在执行期间可能无法正确清理。

  • html/template: 对 HTML 空属性处理不当 (CVE-2023-29400)

在未加引号的 HTML 属性中包含 actions 的模板(例如:"attr={{.}}")在空输入下执行可能会导致在解析 HTML 规范化规则时产生意外结果。这可能允许在标记中注入任意 attributes。

Release Notes | 下载地址


相關推薦

2024-08-15

Go 编程语言开发团队今天凌晨正式发布 Go 1.23。 此版本带来了众多改进和新特性,下面简单看看主要亮点。 一. 语言特性更新 新的迭代器语法: 在"for-range"循环中,现在可以使用迭代器函数作为range表达式,如func(func(K) bool)

2022-11-12

Go 来说,2022 是非常重要的一年,这一年  Go 发布了 Go 1.18 和 Go 1.19 版本,下面回顾一下今年 Go 发布的新功能: Go 1.18 为语言本身带来了一项重大功能:泛型,其次还有 Go 工作区、模糊测试等重要功能。 泛型

2023-06-08

 Seata-go 1.2.0 已正式发布。 Seata 是一个非常成熟的分布式事务框架,在 Java 领域是事实上的分布式事务技术标准平台。Seata-go 是 seata 多语言生态中的 Go 语言实现版本,实现了 Java 和 Go 之间的互通,让 Go 开发者也能使用 se

2023-08-16

上周发布的 Go 1.21 提到该版本继续保持了 Go 1 的兼容性承诺(甚至有所增强)。不过仍有人好奇,未来是否会发布一个会破坏与现有 Go 1.x 程序兼容性的 "Go 2"。 昨天,Go 开发团队技术 leader Russ Cox (rsc) 发表博客详

2022-09-13

Go 博客发布了 2022 年第二季度 Go 开发者调查报告。据介绍,总共有 5752 名开发者参与了本次调查,分享了他们使用 Go 1.18 中新特性的经验和心得。 主要发现 泛型已被迅速采用。大多数受访者都知道 Go 1.18 已正式支持泛型

2022-06-08

Go+ v1.1.0 已发布,这是一门适用于工程、STEM 教育和数据科学的编程语言。主要特性包括: 静态类型语言。 与 Go 完全兼容。 脚本化的风格,以及比 Go 更易于阅读的数据科学代码。 支持字节码后端和 Go 代码生成。在

2022-11-14

dubbogo 社区近期发布了 https://github.com/apache/dubbo-go/releases/tag/v3.0.3-rc2。相关改进内容较多,本文只列出相关重大 feature、bugfix 、 性能提升项。 1. Proxyless 模式下证书文件获取 在 Proxy 模式下,Istio 颁发的证书可以通过 sidecar

2022-12-21

程语言提供了丰富的语言支持。 VS Code Go v0.37 近日正式发布,这个版本包括新的静态分析功能,可以报告依赖项中的已知漏洞。这些 vulncheck 分析工具由 Go 的漏洞数据库和 Go 语言服务器的govulncheck集成支持。 变化 新的 “Go

2023-10-09

go-logger v2.0.3发布,该版本主要针对性能进行优化.  github地址:https://github.com/donnie4w/go-logger  go的结构化日志库非常多,go-logger是比较早期开发的一个库, 以简洁为主要特征。simplelog是后期给数据库binlog日志开发的一个

2023-09-22

都能四世同堂,凭什么开发 30 岁就要被干掉? Go 团队发布了一份官方指南,帮助开发者更规范地组织/构建 Go module。 刚接触 Go 的开发者常见问题之一是,“就文件和文件夹的组织布局而言,如何组织我的 Go 项目?”。这

2023-09-22

能四世同堂,凭什么开发 30 岁就要被干掉? 上月正式发布的 Go 1.21 修改了 for 循环变量的语义(预览阶段,点此查看详情)。 现在,Go 团队表示 Go 1.22 会将这项特性发布为正式功能。 根据 Go 开发团队技术 leader Russ Cox

2022-11-15

误 【优化】升级第三方依赖、多出细节和功能优化 发布地址 github: https://github.com/mlogclub/bbs-go/releases/tag/v3.5.4 gitee: https://gitee.com/mlogclub/bbs-go/releases/v3.5.4 功能简介 功能预览   相关链接 帮助文档

2023-10-09

Go 近日发布了 Go 1.21.2 和 Go 1.20.9 两个小版本。 Go 1.21.2 是 1.21 的第 2 个安全补丁,主要涉及一个安全更新: cmd/go:line 指令允许在构建期间任意执行 根据 issue 的描述,"//line" 指令可用于绕过对 "//go:cgo_" 指令的限制,允

2022-07-15

Go 1.19 发布了第一个 RC 版本,正式版预计在 8 月推出。 主要变化 针对“泛型”的 Bugfix 更新内存模型,与 C、C++、Java、JavaScript、Rust 和 Swift 使用的内存模型保持一致 Go 1.19 在启动时将默认提高打开文件的限制值 Go 1.19