阅读本文大概需要 5 分钟。
大家好,我是 polarisxu。
今早 Go 官方发布了两个新的小版本:Go1.19.3 和 Go1.18.8,这是进行了安全更新。这次升级只包含了一个安全问题修复。
syscall,os/exec 包:环境变量中未初始化的 NULL
在Windows上,syscall.StartProcess 和 os/exec.Cmd 未正确检查无效的环境变量值。恶意环境变量值可以利用此行为为其他环境变量设置值。例如,环境变量字符串“A=B\x00C=D”设置变量“A=B”和“C=D“)。
详细 issue 见:https://github.com/golang/go/issues/56284。
Go 语言中文网为大家准备好了下载包:https://studygolang.com/dl。
如果你使用 Windows 做服务器,而且使用了上面的 API,建议升级!
我是 polarisxu,北大硕士毕业,曾在 360 等知名互联网公司工作,10多年技术研发与架构经验!2012 年接触 Go 语言并创建了 Go 语言中文网!著有《Go语言编程之旅》、开源图书《Go语言标准库》等。
坚持输出技术(包括 Go、Rust 等技术)、职场心得和创业感悟!欢迎关注「polarisxu」一起成长!也欢迎加我微信好友交流:gopherstudio
文章来源: https://mp.weixin.qq.com/s?__biz=MzAxNzY0NDE3NA==&mid=2247490410&idx=1&sn=774da2962b188fcaafa41e8c0f142ab4&chksm=9be3348bac94bd9da14847a4c2ec4b142cfa227f6f4b5cb89f3bcc2868e1de71426f9926d4f8#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh