Go 官方发布了 Go1.22.5 和 1.21.12，这是小版本更新，包含 1 个安全修复。
net/http：由于不正确的 100-continue 处理导致拒绝服务
net/http HTTP/1.1 客户端对服务器用“Expect: 100-continue”头响应请求并返回非信息性（200 或更高）状态的情况处理不当。这种处理不当可能会使客户端连接处于无效状态，导致在该连接上发送的下一个请求失败。

攻击者向 net/http/httputil.ReverseProxy 代理发送请求时，可以利用这种处理不当，通过发送引发后端非信息性响应的“Expect: 100-continue”请求来造成拒绝服务。每个这样的请求都会使代理留下无效连接，并导致使用该连接的一个后续请求失败。

Geoff Franks 报告此 Bug：https://go.dev/issue/67555。
Go 语言中文网为大家提供了最新安装包供大家下载：https://studygolang.com/dl。

你也可以按照官方的方式升级试用：