漏洞概述 Go 1.26.4 和 Go 1.25.11 版本发布了三个安全修复,涉及以下漏洞: 1. mime: WordDecoder DecodeHeader 中的二次复杂度 - 解码包含许多无效编码单词的恶意 MIME 头可能导致 CPU 过度消耗。 - 修复:MIME 解码器现在更好地处理这种情况。 2. net/http: 任意输入包含在错误中,没有转义 - 当返回错误时,net/http 包中的函数会将输入作为错误的一部分返回,没有转义。 - 这可能导致攻击者注入误导性内容、终端控制字节等,影响受害者的输出。 - 修复:net/http 客户端在使用 ReadMIMEHeader 解析从服务器接收的标头时,现在正确处理这种情况。 3. crypto/x509: 拆分候选主机名仅一次 - x509 证书验证器之前调用 matchHostnames 循环遍历所有 DNS 主题备用名称 (SAN) 条目。 - 这导致字符串 Split 调用在相同输入主机名上重复执行。 - 修复:x509 验证器在构建证书链之前验证主机名,从而减少未验证证书上的开销。 影响范围 mime: WordDecoder DecodeHeader 中的二次复杂度 - 影响:解码恶意 MIME 头可能导致 CPU 过度消耗。 net/http: 任意输入包含在错误中,没有转义 - 影响:攻击者可以注入误导性内容、终端控制字节等,影响受害者的输出。 crypto/x509: 拆分候选主机名仅一次 - 影响:未验证证书上的开销增加。 修复方案 mime: WordDecoder DecodeHeader 中的二次复杂度 - 修复:MIME 解码器现在更好地处理这种情况。 net/http: 任意输入包含在错误中,没有转义 - 修复:net/http 客户端在使用 ReadMIMEHeader 解析从服务器接收的标头时,现在正确处理这种情况。 crypto/x509: 拆分候选主机名仅一次 - 修复:x509 验证器在构建证书链之前验证主机名,从而减少未验证证书上的开销。 相关链接 CVE-2024-42504: https://go.dev/issue/70217 CVE-2024-42507: https://go.dev/issue/79346 CVE-2025-27145: https://go.dev/issue/79694 更多信息 发布说明 下载二进制和源代码分发