Go 版本 1.19.1 和 1.18.6,次要版本
这些次要版本包括 2 个遵循安全策略的安全修复:
-
net/http: 发送 GOAWAY 后处理服务器错误 关闭的 HTTP/2 服务器连接可能会永远挂起,等待干净关闭,但随后的致命错误会抢占该连接。这种故障模式可以被利用来导致拒绝服务。
这是 CVE-2022-27664 和 Go 问题go.dev/issue/54658…
-
net/url:JoinPath 在所有情况下都不会剥离相对路径组件 这是 CVE-2022-32190 和 Go 问题go.dev/issue/54385…
JoinPath 和 URL.JoinPath 不会删除附加到相对路径的 ../ 路径组件。例如,JoinPath(" go.dev ", "../go") 返回 URL go.dev/../go,尽管 JoinPath 文档指出 ../ 路径元素是从结果中清除。
最近在琢磨,升级后会不会对原来的代码出现兼容性的问题,希望大家可以给点升级的建议
