Go1.22.2和Go1.21.9更新,请谨慎升级

不爱学习 2024-04-04 19:58:39

这个更新,两个go版本,主要是为了修一个 CVE 漏洞,编号为:CVE-2023-45288

我具体查了以下,引用专业网站的介绍

CVE-2023-45288 是一个已被保留的漏洞标识符,由一个组织或个人保留,用于在公布新的安全问题时使用。一旦该候选项被公开,将会提供有关此漏洞的详细信息。

根据 NVD 的描述,这个漏洞涉及到 go-resty 中的竞态条件,可能导致跨请求的 HTTP 请求体泄露。具体来说,当启用请求重试并且发生重试时,如果多次调用 sync.Pool.Put 使用相同的 *bytes.Buffer,就会触发这个条件。

最初是因为 2023-10-30 的时候,有人在go resty 项目汇报,说有个bug,为什么Request Body 被写多次呢?

那么这个是在特定的Go版本更新之后,引入的问题?

根据go官方的声明,是修复了特定的std 标准库,然后让这个问题得到了解决。

发布时间估计不晚于 2024-04-03

1 阅读:1

不爱学习

简介:感谢大家的关注