Go 1.13.1 和 Go 1.12.10 发布,小版本更新

来源: 投稿
作者: threeC
2019-09-27

Go 1.13.1 和 Go 1.12.10 发布了,修复了一个安全问题,如下:

net/http (通过 net/textproto)接受无效的 HTTP/1.1 报头并将其标准化,在冒号前会出现空格,产生 RFC 7230 错误。

如果一个 Go 服务器在一个不常见的反向代理后面使用,该代理接受并转发这些无效的报头,却不对这些无效报头进行规范化,反向代理和服务器就会互不相同地解释这些报头。这可能导致过滤旁路或请求漏洞( request smuggling),如果来自不同客户端的请求被代理多路复用到相同的上游连接上,则导致请求漏洞。这些无效的报头现在被 Go 服务器拒绝,并且在没有规范化的情况下传递给 Go 客户端应用程序。

查看发布说明以了解更多信息:

https://groups.google.com/forum/m/#!topic/golang-announce/cszieYyuL9Q

展开阅读全文
1 收藏
分享
加载中
最新评论 (6)
想着学习一下,然后访问404,瞬间热情凉了
2019-10-01 11:23
0
回复
举报
一个上不了Google的地方,确在整天讨论Google的技术。很有意思
2019-09-28 13:23
0
回复
举报
C++, Rust, Java, C# 都有版本时间线计划. Go的2.0有计划什么时候出了么?
2019-09-27 10:02
0
回复
举报
谷歌:我就是标准,你们出版本计划落后了,是落后的表现。
2019-09-27 11:24
0
回复
举报
我觉得他们等着大更新弄进2.0,而且2.0出来后会狂刷版本号。
2019-09-27 12:43
0
回复
举报
因为不想够2
2019-09-27 16:11
0
回复
举报
更多评论
6 评论
1 收藏
分享
返回顶部
顶部