我们刚刚发布了 Go 版本 1.22.5 和 1.21.12，这是次要版本更新。

这些次要版本更新包括 1 个根据安全策略修复的安全问题：

• net/http：由于不当处理 100-continue 导致的拒绝服务

net/http HTTP/1.1 客户端在处理服务器响应包含 “Expect: 100-continue” 头的请求时，如果服务器返回一个非信息性状态（200 或更高），会处理不当。这种处理不当可能会使客户端连接处于无效状态，使得在该连接上发送的下一个请求会失败。

攻击者向一个 net/http/httputil.ReverseProxy 代理发送请求，可以利用这种处理不当，通过发送 “Expect: 100-continue” 请求并从后端获取非信息性响应，导致拒绝服务。每个这样的请求都会使代理处于无效连接状态，并导致使用该连接的后续请求失败。