• Go 1.22.5发布 修复了1个安全漏洞
  • 发布于 1周前
  • 56 热度
    0 评论
Go 官方发布了 Go1.22.5 和 1.21.12,这是小版本更新,包含 1 个安全修复。
net/http:由于不正确的 100-continue 处理导致拒绝服务
net/http HTTP/1.1 客户端对服务器用“Expect: 100-continue”头响应请求并返回非信息性(200 或更高)状态的情况处理不当。这种处理不当可能会使客户端连接处于无效状态,导致在该连接上发送的下一个请求失败。

攻击者向 net/http/httputil.ReverseProxy 代理发送请求时,可以利用这种处理不当,通过发送引发后端非信息性响应的“Expect: 100-continue”请求来造成拒绝服务。每个这样的请求都会使代理留下无效连接,并导致使用该连接的一个后续请求失败。

Geoff Franks 报告此 Bug:https://go.dev/issue/67555
Go 语言中文网为大家提供了最新安装包供大家下载:https://studygolang.com/dl

你也可以按照官方的方式升级试用:

用户评论