这些发布了 1.16.4 和 1.15.12
安全更新(#44918)
net/http中的ReadRequest和ReadResponse在读取非常大的报头(64位体系结构上超过7MB,32位体系结构上超过4MB)时会遇到无法恢复的死机。传输和客户端易受攻击,恶意服务器会使程序崩溃。默认情况下,服务器不易受攻击,但如果通过将Server.MaxHeaderBytes设置为更高的值来覆盖默认的最大标头1MB,则服务器可能会受到攻击,在这种情况下,恶意客户端可能会使程序崩溃。
这也会影响golang.org/x/net/http2/h2c和golang.org/x/net/http/httpguts中的HeaderValuesContainsToken,并在golang.org/x中修复/net@v0.0.0-20210428140749-89ef3d95e781.
这是第45710期和CVE-2021-31525期。
多亏了Guido Vranken,他报告了以太坊2.0赏金计划中的坠机事件。
有关详细信息,请查看发行说明:
https://golang.org/doc/devel/release.html#go1.16.minor
您可以从Go网站下载二进制和源代码发行版:
要使用Git克隆从源代码进行编译,请使用
“git checkout go1.16.4”,并像往常一样构建。