Go1.8.4和Go1.9.1版本发布

文 | Chris Broadfoot

你们好gophers,

最近爆出的两则安全问题,为了修复它,我们刚刚发布了Go 1.8.4和Go 1.9.1两个版本。

我们建议所有Go的开发者将版本升级(如果你不知道哪个,请选择1.9.1版本)。

这两个版本解决的问题如下:

01

通过嵌套git checkout在另一个版本控制库里,攻击者很有可能借用go get命令执行任何代码。现在Go命令已经停止使用版本控制里的checkout功能。

问题跟踪可以访问 https://golang.org/issue/22125 (Go 1.8.4) 和 https://golang.org/issue/22131 (Go 1.9.1)。修补方法也可以在链接里找到。

感谢Simon Rawet的报告。

02

在官方的smtp包中,PlainAuth一般是在加密的TLS连接中进行认证时才能发送凭证,但是从Go1.1版本开始,远程服务器如果支持简单的认证方式,它也能在非TLS连接中发送凭证。这个更改意味着允许在本机(localhost)上使用简单的认证方式,但是就允许了攻击者轻松的在认证期间获取到凭证。PlainAuth现在要求不管是TLS连接还是本地服务器发送凭证之前,不用考虑远程服务器的声明。

问题跟踪可以访问 https://golang.org/issue/22134 (Go 1.8.4) 和 https://golang.org/issue/22133 (Go 1.9.1). 修补方法也可以在链接里找到。

感谢Stevie Johnstone的报告。

可以从https://golang.org/dl和其他相关平台上下载新版本。

Chris (Go团队代表)

原文发布于微信公众号 - Golang语言社区(Golangweb)

原文发表时间:2017-10-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏北京马哥教育

黑客常用linux入侵常用命令,有你不知道的没?

[jobcruit@wa64-054 rankup_log]$ echo -e "<?php @eval(\$_POST[md5])?>" >rankuplog...

45920
来自专栏黑白安全

密码的锅,Gentoo 发布 GitHub 仓库被入侵事件报告

之前我们曾报道过“Gentoo Linux 的 GitHub 仓库被入侵,意图删除所有文件”的消息,Gentoo Linux 的 Github 仓库在6月28日...

12920
来自专栏我的安全视界观

【应急响应】redis未授权访问致远程植入挖矿脚本(攻击篇)

54760
来自专栏网络

HTTP页面如何完成301重定向

上周,本站发布了一篇名为《站长须知:HTTP迁移HTTPS时,如何避免发生重复内容问题》的文章。介绍了HTTP页面迁移到HTTPS的时候,为了避免出现重复内容的...

48750
来自专栏嵌入式程序猿

涨姿势:如何利用泰利特无线模块发邮件

随着物联网的大热,嵌入式开发中越来越多的产品需要加入无线的功能,今天我们就以泰利特无线模块HE910来讲讲如何利用泰利特无线模块通过AT指令操作来发送邮件。 准...

33370
来自专栏北京马哥教育

25个常用的Linux iptables规则

一些常用的 Linux iptables 规则,请根据自己的具体需要再修改。 # 1. 删除所有现有规则 # 2. 设置默认的 chain 策略 # 3. 阻止...

35970
来自专栏源码之家

最新淘客AppKey申请教程

69520
来自专栏FreeBuf

内网中使用metasploit进行渗透测试

在渗透测试时,metasploit往往作为后渗透工具。而大多数站点都内网ip。而本屌丝自己的机器也是内网ip,那么两个内网ip怎么建立连接? 以前总是使用lcx...

30480
来自专栏逸鹏说道

CSharp for Jupyter Notebook

之前说有机会就说下Linux下如何搭建C#版的交互编程,今天写篇文章还债^_^ Win下比较简单,可以自己看官方文档https://github.com/zab...

15260
来自专栏Java后端技术

解决Eclipse里的Maven工程pom.xml文件报:web.xml is missing and <failOnMissingWebXml> is set to true错误

打开eclipse准备进行开发时,发现项目上有个红星号,查看错误后发现报了一个:"web.xml is missing and <failOnMissingWe...

8830

扫码关注云+社区

领取腾讯云代金券