国庆期间,Go 1.19.2 和 Go 1.18.7 发布了
2022-10-8 08:30:45 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

大家好,我是 polarisxu。

这是两个小版本更新,主要是安全更新,修复了 3 个 bug。

  • archive/tar:读取 header 时,可能会导致无尽的内存消耗。Reader.Read 没有对文件头的最大大小设置限制。恶意制作的存档可能会导致 Read 分配无限 量的内存,从而可能导致资源耗尽或 panic。Reader.Read 现在将 header 块的最大大小限制为 1 MiB。issue 见:https://github.com/golang/go/issues/54853。

  • net/http/httputil:ReverseProxy 不应转发不可解析的查询参数。ReverseProxy 转发的请求包括来自入站请求的原始查询参数,包括被 net/http 拒绝的无法解析的参数。 当 Go 代理转发具有不可解析值的参数时,这可能允许查询参数走私。在 ReverseProxy.Director 函数返回后设置出站请求的 Form 字段时,ReverseProxy 现在将清理转发查询中的查询参数,表明代理已解析查询参数。不解析查询参数的代理继续转发原始查询参数不变。issue 见:https://github.com/golang/go/issues/54663。

  • regexp/syntax:限制解析正则表达式使用的内存。解析的正则表达式表示在输入大小上是线性的,但在某些情况下,常数因子可能高达 40,000,使得相对较小的正则表达式消耗大量内存。每个被解析的正则表达式现在被限制为 256 MB 的内存占用。 现在拒绝其表示将使用更多空间的正则表达式。正则表达式的正常使用不受影响。issue 见:https://github.com/golang/go/issues/55949。

Go语言中文网已经为大家准备好了安装包:https://studygolang.com/dl,当然,也可以采用官方的方式更新:


推荐阅读

福利
我为大家整理了一份从入门到进阶的Go学习资料礼包,包含学习建议:入门看什么,进阶看什么。关注公众号 「polarisxu」,回复 ebook 获取;还可以回复「进群」,和数万 Gopher 交流学习。


文章来源: https://mp.weixin.qq.com/s?__biz=MzAxNzY0NDE3NA==&mid=2247490357&idx=1&sn=27d228cd5dfd11b9b07d08554740abaf&chksm=9be334d4ac94bdc2e6256353f30c7c3bae82f600ff6b5bf207c293446936cd129e78e418ea4e#rd
如有侵权请联系:admin#unsafe.sh