Go 1.23 刚刚发布了第一个补丁，包括多个安全问题，涉及 go/parser, encoding/gob...

文章预览

北京时间 2024 年 09 月 05 日 23 点 43 分， Go 团队发布了最新版本 Go 1.23.1 和 Go 1.22.7，这是 Go 1.23 的第 1 个补丁。 Go 1.23 历史文章： Russ Cox 领导 Go 团队发布的最后一个版本 Go 1.23.0 终于发布啦！来的比以往晚了几天！ Go 1.23 Release Candidate 2 is released! Go 1.23 rc1 已发布，包括极具争议的迭代器... Go 1.23.1 主要修复了几个安全问题： [securit y] fix   CVE-2024-34155,  CVE-2024-34 156 follow up CVE-2022-30635,  CVE-2024-34158， 涉及到  go/parser, encoding/gob, go/build/constraint 包。 1. go/parser: stack exhaustion in all Parse* functions 所有 Parse* 函数中的堆栈耗尽问题 在包含深嵌套字面量的 Go 源代码上调用任何 Parse 函数，都可能会因堆栈耗尽而导致恐慌。 2. encoding/gob: stack exhaustion in Decoder.Decode Decoder.Decode 中的堆栈耗尽问题 对包含深嵌套结构的报文调用 Decoder.Decode，可能会因堆栈耗尽而导致恐 ………………………………