golang 发布 1.22.5 和 1.21.12 版本
我们刚刚发布了 Go 版本 1.22.5 和 1.21.12,这是次要版本更新。
这些次要版本更新包括 1 个根据安全策略修复的安全问题:
- net/http:由于不当处理 100-continue 导致的拒绝服务
net/http HTTP/1.1 客户端在处理服务器响应包含 “Expect: 100-continue” 头的请求时,如果服务器返回一个非信息性状态(200 或更高),会处理不当。这种处理不当可能会使客户端连接处于无效状态,使得在该连接上发送的下一个请求会失败。
攻击者向一个 net/http/httputil.ReverseProxy 代理发送请求,可以利用这种处理不当,通过发送 “Expect: 100-continue” 请求并从后端获取非信息性响应,导致拒绝服务。每个这样的请求都会使代理处于无效连接状态,并导致使用该连接的后续请求失败。