原文链接:https://groups.google.com/g/golang-dev/c/BC9Nelav6LU

译文

嗨,Gophers,

我们刚刚发布了Go版本1.17.3和1.16.10,这是次要版本。

这些小版本包括遵循安全策略的两个安全修复程序:

archive/zip:不要在(*Reader).Open 报出panic
Reader.Open (the API implementing io/fs.FS introduced in Go 1.16)
如果攻击者提供包含完全无效的名称或空文件名参数的精心制作的ZIP归档文件,就会造成panic。

感谢Colin Arnott, SiteHost和Noah Santschi-Cooney, Sourcegraph Code Intelligence Team对本期问题的报道。
这里是CVE-2021-41772,发布golang.org/issue/48085。
debug/macho:无效的动态符号表命令会引起panic

使用Open或OpenFat解析的格式错误的二进制文件在调用importsymbols时可能会由于越界切片操作而引起恐慌。
感谢Burak Çarıkçı - Yunus Yıldırım (CT-Zer0 Crypttech)报告这个问题
这里是CVE-2021-41771,发布golang.org/issue/48990。
查看发行说明以获取更多信息:
https://golang.org/doc/devel/release.html#go1.17.minor

你可以从Go网站下载二进制版本和源代码:

https://golang.org/dl/

要使用Git克隆从源代码编译,请使用

“git checkout go1.17.3”,并照常构建。

感谢所有为发布做出贡献的人。

最后修改:2021 年 11 月 05 日 10 : 03 AM
如果觉得我的文章对你有用,请随意赞赏