Go发布了1.14.5和1.13.13版本,以解决两个最近报告的安全问题,建议所有用户更新到这两个版本之一。主要解决的问题包括:•某些net/http服务器(包括ReverseProxy)中的数据争用处理程序同时读取请求主体并写入响应的服务器可能会遇到数据争用和崩溃。
httputil.ReverseProxy处理程序就受到了影响。此问题是CVE-2020-15586,Goissuegolang.org/issue/34902。•X.509验证会忽略Windows提供的EKUs在Windows上,如果VerifyOptions.Roots为nil,则Certificate.Verify不会检查VerifyOptions.KeyUsages中指定的EKU要求。此问题是CVE-2020-14039,Goissuegolang.org/issue/39360。
即将发布的Go1.15rc1版本也将包含上述修复程序。
本文来源:彩神Vll-www.bessyo.net
扫一扫关注微信