Go 1.20.4 和 1.19.9 已发布。根据公告,此次更新仍是修复安全问题。
Go 1.20.4 主要修复了以下 3 个安全相关的问题:
- html/template: 对 CSS 值处理不当 (CVE-2023-24539)
当插入到 CSS 上下文中时,尖括号(<>)不被认为是危险字符。包含由'/'字符分隔的多个操作的模板可能导致意外关闭 CSS 上下文,并允许在不受信任的输入下注入意外的 HTML 代码。
- html/template: 对 JavaScript 空格处理不当 (CVE-2023-24540)
并非所有有效的 JavaScript 空白字符都被认为是空白。在 JavaScript 上下文中,包含字符集 "\t\n\f\r\u0020\u2028\u2029" 之外的空白字符的模板,在执行期间可能无法正确清理。
- html/template: 对 HTML 空属性处理不当 (CVE-2023-29400)
在未加引号的 HTML 属性中包含 actions 的模板(例如:"attr={{.}}")在空输入下执行可能会导致在解析 HTML 规范化规则时产生意外结果。这可能允许在标记中注入任意 attributes。
Release Notes | 下载地址