Go 官方团队发布的 Go 1.25.6 和 Go 1.24.12 紧急安全更新公告,同时还包括 Go1.26 RC2 版本。
核心修复:6 大漏洞深度解析
本次更新修复的漏洞主要集中在“拒绝服务(DoS)”和“任意代码执行(RCE)”两个高危领域:
1. archive/zip:线性算法变“炸弹” (CVE-2025-61728)
2. net/http:内存溢出风险 (CVE-2025-61726)
3. cmd/go:VCS 注入导致任意代码执行 (CVE-2025-68119)
4. cmd/go:Cgo 标志绕过 (CVE-2025-61731)
5. crypto/tls:Session Ticket 与证书过期漏洞 (CVE-2025-68121)
6. crypto/tls:TLS 1.3 握手层级错误 (CVE-2025-61730)
开发者该如何行动?尝鲜者请更新: 如果你已经在测试环境使用 Go 1.26rc1,请立即切换到 Go 1.26rc2。关注正式版: 这些修复也将同步到 Go 1.25 和 Go 1.24 的最新补丁版本中。对于生产环境,请务必保持关注并及时升级小版本。加强防御: 在处理用户上传的压缩包(ZIP)或解析复杂的 HTTP 表单时,务必在应用层增加大小限制。 结语
Go 语言社区对安全的响应速度一如既往地迅速。每一个漏洞的修复,都让 Gopher 们的代码库更加坚固。