Go1.16.6 发布:又一个小问题引发安全 Bug

最新推荐文章于 2022-08-08 15:41:59 发布
最新推荐文章于 2022-08-08 15:41:59 发布
阅读量390 收藏
点赞数
文章标签: 网络 java javascript 编程语言 golang
原文链接:https://studygolang.com/dl
版权

阅读本文大概需要 5 分钟。

大家好,我是 polarisxu。

今早,Go 官方发布了 Go1.16.6 和 Go1.15.14,这是两个小版本,主要修复安全漏洞。因此,如果你的代码可能涉及到,建议进行升级。

crypto/tls clients can panic when provided a certificate of the wrong type for the negotiated parameters. net/http clients performing HTTPS requests are also affected. The panic can be triggered by an attacker in a privileged network position without access to the server certificate's private key, as long as a trusted ECDSA or Ed25519 certificate for the server exists (or can be issued), or the client is configured with Config.InsecureSkipVerify. Clients that disable all TLS_RSA cipher suites (that is, TLS 1.0–1.2 cipher suites without ECDHE), as well as TLS 1.3-only clients, are unaffected.

当为协商的参数提供了错误类型的证书时,crypto/tls 客户端可能会 panic。net/http 客户端执行 HTTPS 请求也会受到此影响。攻击者可以在有特权的网络位置,不访问服务器证书的私钥的情况下触发该 panic,只要是受信任的服务器的 ECDSA 或 Ed25519 证书存在 (或者可以颁发),或者客户端配置有 Config.InsecureSkipVerify。我想不少客户端可能都配置了 Config.InsecureSkipVerify,所以需要引起注意。

这个漏洞发现后,官方紧急修复并发版,从这个 issue 的时间可以看到:

大概率是代码的一个小问题引起的,好比之前有一次,我发了一篇文章:快一个月,Go1.16 才发现了比较严重的 Bug,但这个 Bug 有点 Low。。。看看这次的改动:

进行类型断言,直接使用其结果,没有进行判断。除非能确保 cert.PublicKey 一定是 *rsa.PublicKey,否则应该使用 ok 式断言。从报的 issue 看,显然不能确保,似乎为了图省事,想一行代码搞定?大家在进行类型断言时,一定要注意此问题。

我在 Go 语言中文网为大家准备好了最新下载地址:https://studygolang.com/dl,也可以使用你喜欢的 Go 版本管理工具,比如 goup,或者按照官方的方式:

往期推荐

我是 polarisxu,北大硕士毕业,曾在 360 等知名互联网公司工作,10多年技术研发与架构经验!2012 年接触 Go 语言并创建了 Go 语言中文网!著有《Go语言编程之旅》、开源图书《Go语言标准库》等。

坚持输出技术(包括 Go、Rust 等技术)、职场心得和创业感悟!欢迎关注「polarisxu」一起成长!也欢迎加我微信好友交流:gopherstudio

煎鱼(EDDYCJY)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
go1.16.6.linux-amd64.tar.gz
08-04
1.16.6是一个维护版本,意味着它主要是为了修复已知问题,确保稳定性和安全性。 3. **Linux**:Linux是一种自由和开放源码的类UNIX操作系统内核,广泛应用于服务器、嵌入式设备以及个人计算机。Go语言支持多种操作...
go1.16.6.windows-amd64.msi
07-20
go1.16.6.windows-amd64.msi
Go技术日报(2021-07-14)——Go1.16.6 发布
韩亚军的博客
07-15 440
每日一谚:channels are a tool. Like any tool, they are good at some things and less good at others. - Russ Cox go中文网每日资讯--2021-07-14 一、Go语言中文网 Go1.16.6 发布 二、Go中文网日报 ???? Go相关公众号文章每日推荐【2021-07-13】 - Go语言中文网 - Golang中文社区 三、脑子进煎鱼了 深入理解 Linux 的 epoll 机制 四、MoeL
golang 1.14.6 , 2020-7-16
程序员写的技术 FAQ 和杂文
07-17 480
包括:1.14版本分支上的所有非安全修复程序。 修改: https://github.com/golang/go/issues?q=milestone%3AGo1.14.6 https://github.com/golang/go/issues/39991#issuecomment-656710770 cmd / compile:使用sync时发生内部编译错误池:零/存储大小不匹配 ...
Golang项目访问外部接口添加客户端TLS/SSL证书
nil
04-29 4812
Golang项目访问外部接口添加客户端TLS/SSL证书
Golang HTTPS 忽略证书验证
Ch3nnn的博客
06-15 2295
​ 通过设置TLSClientConfig: &tls.Config{InsecureSkipVerify: true}, 来取消对HTTPS的证书验证,以处理x509: certificatesignedby unknown authority ​
prometheus使用 (二十) 监控Kubernetes集群
默子昂
02-18 2842
之前我们都是直接去抓取部署在宿主机上服务暴露出来的指标进行监控 K8是什么就不说了,本章主要是说一下在宿主机和容器中prometheus该如何监控K8S集群 一、宿主机prometheus监听K8 其实比较常见的还是在容器中跑prometheus,但在业务中也碰到过在宿主机部署的情况 1、监听node资源 vi /etc/prometheus/prometheus.yml global: scrape_interval: 1m evaluation_interval:..
numpy-1.16.6.zip
07-07
Numpy,全称Numerical Python,是Python编程语言的一个开源库,专门用于处理大型多维数组和矩阵。在“numpy-1.16.6.zip”这个压缩包中,包含了Numpy库的1.16.6版本,这是一个稳定且功能强大的版本,广泛应用于科学...
numpy-1.16.6+vanilla-cp27-cp27m-win_amd64
08-19
numpy-1.16.6+vanilla-cp27-cp27m-win_amd64
lombok v1.16.6和v1.16.20
02-02
lombok.jar是v1.16.20,新建了一个Class类,然后在其中设置了几个字段,最后还需要花费很多时间来建立getter和setter方法 lombok项目的产生就是为了省去我们手动创建getter和setter方法的麻烦,它能够在我们编译源码...
headi:可自定义的自动HTTP标头注入
04-01
头 可自定义的自动HTTP标头注入。 从HTB机器控制运行的示例: 当前未配置InsecureSkipVerify ,如果要禁用安全检查,则可以随意取消对导入和TLSClientConfig: &tls.Config{InsecureSkipVerify: true},中的crypto/tls的TLSClientConfig: &tls.Config{InsecureSkipVerify: true}, http传输配置中的行,然后在本地进行构建。 去做 添加并发选项-在某些站点上运行缓慢 安装 go get github.com/mlcsec/headi 标头 注入以下HTTP标头: 客户端IP 联系 接触 转寄 从 主持人 起源 推荐人 真实客户端IP X客户端IP X自定义IP授权 X转发 X转发 X转发主机 X转发服务器 X主机 X-HTTP-Host-Override
golang bug总结
whb的博客
07-25 334
Golang环境配置中,GOARCH环境变量可以设置交叉编译程序,amd64位64位程序,386为32位程序,arm为arm程序 目标可执行程序操作系统构架,包括 386,amd64,arm CGO_ENABLED 环境变量可以设置是否支持CGO,1为支持,0为不...
Go and HTTPS
Programer From Scrach
03-31 1189
转自:http://tonybai.com/2015/04/30/go-and-https/ 近期在构思一个产品,考虑到安全性的原因,可能需要使用到HTTPS协议以及双向数字证书校验。之前只是粗浅接触过HTTP(使用Golang开 发微信系列)。对HTTPS的了解则始于那次自行搭建ngrok服务,在那个过程中照猫画虎地为服务端生成了一些私钥和证书,虽然结果是好 的:ngrok服务成功搭建起来
【CKA考试笔记】十五、安全管理:验证与授权
热门推荐
戴陵FL的博客
08-08 1万+
k8s的认证方式,k8s中的权限、用户、角色,service account
Kubernetes集群安全概述
简云的博客
10-21 772
转自Kubernetes集群安全概述 - 我是程序员 - 博客园 (cnblogs.com) API的访问安全性 API Server的端口和地址 在默认情况下,API Server通过本地端口和安全端口两个不同的HTTP端口,对外提供API服务,其中本地端口是基于HTTP协议的,用于在本机(API Server所在主机)无限制的访问API Server,而安全端口则是基于HTTPS协议的,用于远程有限制的访问API Server,下面就这两种端口做详细的介绍。 本地端口(Localhost Port
Golang忽略HTTPS证书
云原生,DevOps,Kubernetes
02-22 4180
通过设置TLSClientConfig: &tls.Config{InsecureSkipVerify: true},来取消对HTTPS的证书验证,以处理x509: certificate signed by unknown authority package main import ( "crypto/tls" "fmt" "io/ioutil" "net/http" ) func main() { tr := &http.Transport.
linux下zerotier普通用户想执行zerotier-cli ** 命令报错提示“zerotier-cli: missing authentication token and...
XXX1238XGH的博客
06-05 7680
linux下zerotier普通用户想执行zerotier-cli ** 命令提示“zerotier-cli: missing authentication token and authtoken.secret not found (or readable) in /var/lib/zerotier-one”解决办法: chmod 755 /var/lib/zerotier-one/authtoken.secret 常用权限对照: -rw------- (600) 只有拥有者有读写权限。 -rw
使用Go实现TLS 服务器和客户端
dodod2012的专栏
06-16 1701
使用Go实现TLS 服务器和客户端 传输层安全协议(Transport Layer Security,缩写:TLS),及其前身安全套接层(Secure Sockets Layer,缩写:SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。 SSL包含记录层(Record Layer)和传输层,记录层协议确定了传输层数据的封装格式。传输层安全协议使用X.509认证,之后利用非对称加密演算来对通信方做身份认证,之后交换对称密钥作为会谈密钥(Session key)。这个会谈密钥是用来将通信两方
zwh@zwh-virtual-machine:~$ sudo pip install numpy==1.16.6 sudo: pip:找不到命令
最新发布
06-01
如果在Ubuntu上执行`sudo pip`命令时提示“找不到命令”错误,可能是因为pip没有正确安装或者安装路径没有被包含在系统的PATH环境变量中。你可以尝试以下几种方法解决这个问题: 1. 检查pip是否已经安装 可以执行以下命令检查pip是否已经安装: ``` pip --version ``` 如果pip已经正确安装,这条命令会输出pip的版本信息。如果提示“找不到命令”错误,说明pip还没有安装。 2. 安装pip 如果pip还没有安装,可以按照以下步骤安装: ``` sudo apt-get update sudo apt-get install python-pip ``` 安装完成后,可以执行`pip --version`命令来验证pip是否已经安装。 3. 添加pip安装路径到PATH环境变量中 如果pip已经安装但仍然提示“找不到命令”错误,可能是因为pip的安装路径没有被包含在系统的PATH环境变量中。可以按照以下步骤将pip的安装路径添加到PATH环境变量中: - 打开终端并编辑/etc/environment文件: ``` sudo nano /etc/environment ``` - 在文件的最后添加以下内容: ``` PATH="/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games:/home/your_username/.local/bin" ``` 注意将上面的`your_username`替换成你的用户名。 - 保存并关闭文件,然后执行以下命令使环境变量生效: ``` source /etc/environment ``` - 然后可以执行`pip --version`命令来验证pip是否已经可以正常使用。 如果以上方法都不能解决问题,可以尝试重新安装pip或者查找其他解决方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值