网硕互联帮助中心
2026年1月16日,Go 官方正式发布 Go 1.25.6,这是 Go 1.25 分支的重要维护更新版本。本次更新聚焦于多个安全漏洞修复与稳定性增强,涵盖 crypto/tls、net/http、archive/zip、cmd/go、runtime、os 等核心模块。其目标是提高 Go 语言在服务端、工具链及系统调用场景下的安全性与可靠性。以下为详细更新内容梳理:
一、核心安全更新(CVE 修复汇总)
本次 Go 1.25.6 一共修复了多项高危漏洞,以下为重点安全问题说明:
1. crypto/tls
- 问题:Config.Clone 在拷贝时会复制自动生成的会话票据密钥,导致证书链过期后仍可能被错误复用。
- 影响:会话恢复未正确考虑完整证书链的过期时间。
- 修复:更新会话票据密钥复制逻辑,确保会话恢复正确验证证书有效性。
- 漏洞编号:CVE-2025-68121
2. archive/zip
- 问题:在解析任意 ZIP 文件时可能触发拒绝服务攻击。
- 影响:持续处理恶意压缩包可导致高资源消耗。
- 修复:优化 ZIP 解析逻辑,增加边界与大小验证。
- 漏洞编号:CVE-2025-61728
3. net/http
- 问题:Request.ParseForm 存在内存耗尽风险。
- 影响:恶意请求可导致服务器耗尽内存。
- 修复:增加内存使用限制及防御机制。
- 漏洞编号:CVE-2025-61726
4. cmd/go 工具链相关
-
问题一:标志(flag)清理绕过,可能导致任意代码执行。
-
修复:完善 flag 校验逻辑。
-
漏洞编号:CVE-2025-61731
-
问题二:调用工具链时可能出现意外代码执行。
-
修复:加强命令调用安全检查。
-
漏洞编号:CVE-2025-68119
二、功能与稳定性修复
1. errors: Join 行为在 1.25 版本中出现差异
- 修复 errors.Join 在多错误组合时的行为不一致问题。
2. cmd/compile/internal/ssa
- 修复编译器在执行 sccp 优化时,可能出现 panic 或索引越界的崩溃问题。
- 有助于提升编译稳定性。
3. crypto/tls
- 修复 TLS 1.3 握手时多余消息问题,确保初次握手消息正确性。
4. runtime
- 修复了在 ppc64le 平台上使用竞态检测器(race detector)时的崩溃问题。
- 解决了 Windows 386 平台上 os/signal 堆栈拆分错误的问题。
5. os
- 在 Unix 系统中,Readdirnames 可能跳过 inode 为零的条目,本次更新修正此行为。
- 优化了包初始化逻辑:处理标准输入被阻塞时的初始化卡死问题。
6. crypto/tls(ECH 功能相关)
- 当启用 ECH(Encrypted ClientHello)时,earlyTrafficSecret 现在将正确使用 ClientHelloInner。
三、更新特征总结
- 发布时间:2026年1月16日
- 版本分支:release-branch.go1.25
- 版本号:go1.25.6
- 定位:稳定性与安全性增强版本
- 里程碑标识:Go1.25.6
- 标签:CherryPickApproved(官方确认合并)
四、社区反馈与版本状态
以上修复均已通过自动与人工审核,所有 CherryPickApproved 问题均已标记为 Closed(已完成)。
本版本被用于 Go 官方在进行点更新(point releases)期间的安全合并和版本发布流程。
五、升级建议
建议所有使用 Go 1.25.x 的开发者立即升级至 Go 1.25.6,以获得最新的安全防护与稳定性改进。
特别是使用 TLS、HTTP、ZIP 解析、以及自行调用 cmd/go 工具链的应用场景,均受到此次安全修复的直接影响。
结语:
代码地址:github.com/golang/go
Go 1.25.6 是 Go 官方对稳定性和安全性的再次加固版本,针对近期披露的多项 CVE 漏洞进行了全面修复,体现了 Go 团队对长期维护分支的持续投入。开发者应及时更新以保障生产环境的安全与可靠。
评论前必须登录!
注册