2026年1月16日,Go 官方正式发布Go 1.25.6,这是 Go 1.25 分支的重要维护更新版本。本次更新聚焦于多个安全漏洞修复与稳定性增强,涵盖crypto/tls、net/http、archive/zip、cmd/go、runtime、os等核心模块。其目标是提高 Go 语言在服务端、工具链及系统调用场景下的安全性与可靠性。以下为详细更新内容梳理:
一、核心安全更新(CVE 修复汇总)
本次 Go 1.25.6 一共修复了多项高危漏洞,以下为重点安全问题说明:
1.crypto/tls
•问题:
Config.Clone在拷贝时会复制自动生成的会话票据密钥,导致证书链过期后仍可能被错误复用。•影响:会话恢复未正确考虑完整证书链的过期时间。
•修复:更新会话票据密钥复制逻辑,确保会话恢复正确验证证书有效性。
•漏洞编号:CVE-2025-68121
archive/zip•问题:在解析任意 ZIP 文件时可能触发拒绝服务攻击。
•影响:持续处理恶意压缩包可导致高资源消耗。
•修复:优化 ZIP 解析逻辑,增加边界与大小验证。
•漏洞编号:CVE-2025-61728
net/http•问题:
Request.ParseForm存在内存耗尽风险。•影响:恶意请求可导致服务器耗尽内存。
•修复:增加内存使用限制及防御机制。
•漏洞编号:CVE-2025-61726
cmd/go工具链相关•问题一:标志(flag)清理绕过,可能导致任意代码执行。
•修复:完善 flag 校验逻辑。
•漏洞编号:CVE-2025-61731
•修复:加强命令调用安全检查。
•漏洞编号:CVE-2025-68119
errors: Join 行为在 1.25 版本中出现差异• 修复
errors.Join在多错误组合时的行为不一致问题。
cmd/compile/internal/ssa• 修复编译器在执行
sccp优化时,可能出现 panic 或索引越界的崩溃问题。• 有助于提升编译稳定性。
crypto/tls• 修复 TLS 1.3 握手时多余消息问题,确保初次握手消息正确性。
runtime• 修复了在ppc64le平台上使用竞态检测器(race detector)时的崩溃问题。
• 解决了 Windows 386 平台上
os/signal堆栈拆分错误的问题。
os• 在 Unix 系统中,
Readdirnames可能跳过 inode 为零的条目,本次更新修正此行为。• 优化了包初始化逻辑:处理标准输入被阻塞时的初始化卡死问题。
crypto/tls(ECH 功能相关)• 当启用 ECH(Encrypted ClientHello)时,
earlyTrafficSecret现在将正确使用ClientHelloInner。
•发布时间:2026年1月16日
•版本分支:release-branch.go1.25
•版本号:go1.25.6
•定位:稳定性与安全性增强版本
•里程碑标识:Go1.25.6
•标签:CherryPickApproved(官方确认合并)
以上修复均已通过自动与人工审核,所有CherryPickApproved问题均已标记为Closed(已完成)。
本版本被用于 Go 官方在进行点更新(point releases)期间的安全合并和版本发布流程。
五、升级建议
建议所有使用 Go 1.25.x 的开发者立即升级至Go 1.25.6,以获得最新的安全防护与稳定性改进。
特别是使用 TLS、HTTP、ZIP 解析、以及自行调用cmd/go工具链的应用场景,均受到此次安全修复的直接影响。
结语:
代码地址:github.com/golang/go
Go 1.25.6 是 Go 官方对稳定性和安全性的再次加固版本,针对近期披露的多项 CVE 漏洞进行了全面修复,体现了 Go 团队对长期维护分支的持续投入。开发者应及时更新以保障生产环境的安全与可靠。
我们相信人工智能为普通人提供了一种“增强工具”,并致力于分享全方位的AI知识。在这里,您可以找到最新的AI科普文章、工具评测、提升效率的秘籍以及行业洞察。 欢迎关注“福大大架构师每日一题”,发消息可获得面试资料,让AI助力您的未来发展。
热门跟贴