关键漏洞信息 漏洞编号: - GO-2026-4337 - CVE-2025-68121 影响: - 包 发布日期: - 2026年2月5日 问题描述: - 该漏洞出现在 包中,当底层 Config 的 ClientCAs 或 RootCAs 字段在初始握手和恢复握手之间发生了变化时,在会话恢复过程中如果恢复握手应该成功但实际上却失败了。这可能发生在用户调用 并修改返回的 Config,或者使用 时。这可能导致一个客户端以没有或不应该在初始握手时恢复会话的方式恢复与服务器的会话,或者导致服务器以没有或不应该在初始握手时恢复会话的方式恢复与客户端的会话。 受影响的包及版本: - 在以下版本受影响: - Go 1.24.13 之前版本 - Go 1.25.0-0 到 Go 1.25.7 - Go 1.26.0-rc.1 到 Go 1.26.0-rc.3 影响的符号: - 9 个受影响的符号 相关资源: - 公告: golang-announce - 提交: go.dev/cl/737700 - 议题: go.dev/issue/77217 - 漏洞信息: vuln.go.dev/GO-2026-4337 报告贡献者: - Coia Prant (github.com/rbqvq), Go Security Team