Go 1.25.6 发布！六大安全漏洞修复与性能优化全解析（CVE-2025系列全面更新） 本次

Go 1.25.6 发布！六大安全漏洞修复与性能优化全解析（CVE-2025系列全面更新）

本次 Go 1.25.6 一共修复了多项高危漏洞，以下为重点安全问题说明：

1. crypto/tls
• 问题：Config.Clone 在拷贝时会复制自动生成的会话票据密钥，导致证书链过期后仍可能被错误复用。
• 影响：会话恢复未正确考虑完整证书链的过期时间。
• 修复：更新会话票据密钥复制逻辑，确保会话恢复正确验证证书有效性。
• 漏洞编号：CVE-2025-68121
2. archive/zip
• 问题：在解析任意 ZIP 文件时可能触发拒绝服务攻击。
• 影响：持续处理恶意压缩包可导致高资源消耗。
• 修复：优化 ZIP 解析逻辑，增加边界与大小验证。
• 漏洞编号：CVE-2025-61728
3. net/http
• 问题：Request.ParseForm 存在内存耗尽风险。
• 影响：恶意请求可导致服务器耗尽内存。
• 修复：增加内存使用限制及防御机制。
• 漏洞编号：CVE-2025-61726
4. cmd/go 工具链相关
• 问题一：标志（flag）清理绕过，可能导致任意代码执行。
• 修复：完善 flag 校验逻辑。
• 漏洞编号：CVE-2025-61731
• 问题二：调用工具链时可能出现意外代码执行。
• 修复：加强命令调用安全检查。
• 漏洞编号：CVE-2025-68119
#大模型# #福大大架构师每日一题#