Go 1.13.1 和 Go 1.12.10 发布,小版本更新

afterer
 afterer
发布于 2019年09月27日
收藏 1

Go 1.13.1 和 Go 1.12.10 发布了,修复了一个安全问题,如下:

net/http (通过 net/textproto)接受无效的 HTTP/1.1 报头并将其标准化,在冒号前会出现空格,产生 RFC 7230 错误。

如果一个 Go 服务器在一个不常见的反向代理后面使用,该代理接受并转发这些无效的报头,却不对这些无效报头进行规范化,反向代理和服务器就会互不相同地解释这些报头。这可能导致过滤旁路或请求漏洞( request smuggling),如果来自不同客户端的请求被代理多路复用到相同的上游连接上,则导致请求漏洞。这些无效的报头现在被 Go 服务器拒绝,并且在没有规范化的情况下传递给 Go 客户端应用程序。

查看发布说明以了解更多信息:

https://groups.google.com/forum/m/#!topic/golang-announce/cszieYyuL9Q

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:Go 1.13.1 和 Go 1.12.10 发布,小版本更新
加载中

最新评论(6

f
freezingsky
想着学习一下,然后访问404,瞬间热情凉了
晒太阳的小猪
晒太阳的小猪
一个上不了Google的地方,确在整天讨论Google的技术。很有意思
dwingo
dwingo
C++, Rust, Java, C# 都有版本时间线计划. Go的2.0有计划什么时候出了么?
久永
久永
谷歌:我就是标准,你们出版本计划落后了,是落后的表现。
hach
hach
我觉得他们等着大更新弄进2.0,而且2.0出来后会狂刷版本号。
egmkang
egmkang
因为不想够2
返回顶部
顶部