Выпущены Go 1.24.4 и Go 1.23.10
Эти минорные релизы включают 3 исправления безопасности в соответствии с политикой безопасности Go:
- net/http: Конфиденциальные заголовки не очищаются при межсайтовом редиректе.
ЗаголовкиProxy-AuthorizationиProxy-Authenticateсохранялись при межсайтовых редиректах, что потенциально приводило к утечке конфиденциальной информации.Это CVE-2025-4673 и Go issue https://go.dev/issue/73816.
- os: Несогласованная обработка O_CREATE|O_EXCL в Unix и Windows.
os.OpenFile(path, os.O_CREATE|os.O_EXCL) вел себя по-разному в Unix и Windows системах, когда целевой путь был висячей символической ссылкой. В Unix системах OpenFile с флагами O_CREATE и O_EXCL никогда не следует за символическими ссылками. В Windows, когда целевой путь был символической ссылкой на несуществующее местоположение, OpenFile создавал файл в этом месте.
Теперь OpenFile всегда возвращает ошибку, когда установлены флаги O_CREATE и O_EXCL, а целевой путь является символической ссылкой.Это CVE-2025-0913 и Go issue https://go.dev/issue/73702. - crypto/x509: Использование ExtKeyUsageAny отключает проверку политики.
Вызов Verify с VerifyOptions.KeyUsages, содержащим ExtKeyUsageAny, непреднамеренно отключал проверку политики. Это затрагивало только цепочки сертификатов, содержащие графы политик, которые встречаются довольно редко.Благодарим Krzysztof Skrzętnicki (@Tener) из Teleport за сообщение об этой проблеме.Это CVE-2025-22874 и Go issue https://go.dev/issue/73612.
Ознакомьтесь с примечаниями к выпуску для получения дополнительной информации: https://go.dev/doc/devel/release#go1.24.4
Вы можете скачать бинарные и исходные дистрибутивы с веб-сайта Go: https://go.dev/dl/
Ручная установка или обновление версии Go в Ubuntu