Go 1.22.5 修复 net/http 包中由于不正确的 100-continue 处理而拒绝服务的安全问题

文章预览

北京时间 2024 年 07 月 03 日凌晨 3 点 24 分， Go 团队发布了最新版本 Go 1.22.5 和 Go 1.21.12，这是 Go 1.22 的第 5 个补丁。 Go 1.22 历史文章： 同一时间：Apple 发布 M4，Google 发布 Go 1.22.3 Go 1.22.2 刚刚已发布，修复 http2 多个 header 导致的连接关闭 Go 1.22 发布第一个安全补丁 Go 1.22.0 可称之为一次史诗级更新 Go 1.22 rc2 刚刚发布，多个新特性等着大家 forloop,math/rand/v2,增强 http routing Go 1.22 RC1 发布新特性：for range, math/rand/v2... Go 1.22.5 主要修复了一个 net/http 安全问题： [securit y] fix   CVE-2024-24791. net/http: denial of service due to improper 100-continue handling net/http HTTP/1.1 客户端错误地处理了服务器以非信息（200 或更高的）状态响应 "Expect: 100-continue " 标头请求的情况。这种错误处理会使客户端连接处于无效状态，从而导致在该连接上发送的下一个请求失败。 向 net/http/httputil.Revers ………………………………