原文链接:https://groups.google.com/g/golang-dev/c/BC9Nelav6LU
译文
嗨,Gophers,
我们刚刚发布了Go版本1.17.3和1.16.10,这是次要版本。
这些小版本包括遵循安全策略的两个安全修复程序:
archive/zip:不要在(*Reader).Open 报出panic
Reader.Open (the API implementing io/fs.FS introduced in Go 1.16)
如果攻击者提供包含完全无效的名称或空文件名参数的精心制作的ZIP归档文件,就会造成panic。
感谢Colin Arnott, SiteHost和Noah Santschi-Cooney, Sourcegraph Code Intelligence Team对本期问题的报道。
这里是CVE-2021-41772,发布golang.org/issue/48085。
debug/macho:无效的动态符号表命令会引起panic
使用Open或OpenFat解析的格式错误的二进制文件在调用importsymbols时可能会由于越界切片操作而引起恐慌。
感谢Burak Çarıkçı - Yunus Yıldırım (CT-Zer0 Crypttech)报告这个问题
这里是CVE-2021-41771,发布golang.org/issue/48990。
查看发行说明以获取更多信息:
https://golang.org/doc/devel/release.html#go1.17.minor
你可以从Go网站下载二进制版本和源代码:
要使用Git克隆从源代码编译,请使用
“git checkout go1.17.3”,并照常构建。
感谢所有为发布做出贡献的人。