Go 1.25.6 发布！六大安全漏洞修复与性能优化全解析（CVE-2025系列全面更新）

2026年1月16日，Go 官方正式发布 Go 1.25.6，这是 Go 1.25 分支的重要维护更新版本。本次更新聚焦于多个安全漏洞修复与稳定性增强，涵盖 crypto/tls、net/http、archive/zip、cmd/go、runtime、os 等核心模块。其目标是提高 Go 语言在服务端、工具链及系统调用场景下的安全性与可靠性。以下为详细更新内容梳理：

一、核心安全更新（CVE 修复汇总）

本次 Go 1.25.6 一共修复了多项高危漏洞，以下为重点安全问题说明：

1. crypto/tls

• • 问题：Config.Clone 在拷贝时会复制自动生成的会话票据密钥，导致证书链过期后仍可能被错误复用。
• • 影响：会话恢复未正确考虑完整证书链的过期时间。
• • 修复：更新会话票据密钥复制逻辑，确保会话恢复正确验证证书有效性。
• • 漏洞编号：CVE-2025-68121

2. archive/zip

• • 问题：在解析任意 ZIP 文件时可能触发拒绝服务攻击。
• • 影响：持续处理恶意压缩包可导致高资源消耗。
• • 修复：优化 ZIP 解析逻辑，增加边界与大小验证。
• • 漏洞编号：CVE-2025-61728

3. net/http

• • 问题：Request.ParseForm 存在内存耗尽风险。
• • 影响：恶意请求可导致服务器耗尽内存。
• • 修复：增加内存使用限制及防御机制。
• • 漏洞编号：CVE-2025-61726

4. cmd/go 工具链相关

• • 问题一：标志（flag）清理绕过，可能导致任意代码执行。
• • 修复：完善 flag 校验逻辑。
• • 漏洞编号：CVE-2025-61731
• • 问题二：调用工具链时可能出现意外代码执行。
• • 修复：加强命令调用安全检查。
• • 漏洞编号：CVE-2025-68119

二、功能与稳定性修复

1. errors: Join 行为在 1.25 版本中出现差异

• • 修复 errors.Join 在多错误组合时的行为不一致问题。

2. cmd/compile/internal/ssa

• • 修复编译器在执行 sccp 优化时，可能出现 panic 或索引越界的崩溃问题。
• • 有助于提升编译稳定性。

3. crypto/tls

• • 修复 TLS 1.3 握手时多余消息问题，确保初次握手消息正确性。

4. runtime

• • 修复了在 ppc64le 平台上使用竞态检测器（race detector）时的崩溃问题。
• • 解决了 Windows 386 平台上 os/signal 堆栈拆分错误的问题。

5. os

• • 在 Unix 系统中，Readdirnames 可能跳过 inode 为零的条目，本次更新修正此行为。
• • 优化了包初始化逻辑：处理标准输入被阻塞时的初始化卡死问题。

6. crypto/tls（ECH 功能相关）

• • 当启用 ECH（Encrypted ClientHello）时，earlyTrafficSecret 现在将正确使用 ClientHelloInner。

三、更新特征总结

• • 发布时间：2026年1月16日
• • 版本分支：release-branch.go1.25
• • 版本号：go1.25.6
• • 定位：稳定性与安全性增强版本
• • 里程碑标识：Go1.25.6
• • 标签：CherryPickApproved（官方确认合并）

四、社区反馈与版本状态

以上修复均已通过自动与人工审核，所有 CherryPickApproved 问题均已标记为 Closed（已完成）。 本版本被用于 Go 官方在进行点更新（point releases）期间的安全合并和版本发布流程。

五、升级建议

建议所有使用 Go 1.25.x 的开发者立即升级至 Go 1.25.6，以获得最新的安全防护与稳定性改进。 特别是使用 TLS、HTTP、ZIP 解析、以及自行调用 cmd/go 工具链的应用场景，均受到此次安全修复的直接影响。

结语：

代码地址：github.com/golang/go

Go 1.25.6 是 Go 官方对稳定性和安全性的再次加固版本，针对近期披露的多项 CVE 漏洞进行了全面修复，体现了 Go 团队对长期维护分支的持续投入。开发者应及时更新以保障生产环境的安全与可靠。

我们相信人工智能为普通人提供了一种“增强工具”，并致力于分享全方位的AI知识。在这里，您可以找到最新的AI科普文章、工具评测、提升效率的秘籍以及行业洞察。