摘要:Go语言再迎一次重要的安全与稳定更新。近日,Go官方团队发布了Go 1.24.3和1.23.9两个点发布版本,其中Go 1.24.3针对安全漏洞进行核心修补,尤其影响到Linux 6.11+环境下的关键功能稳定性。
Go语言再迎一次重要的安全与稳定更新。近日,Go官方团队发布了Go 1.24.3和1.23.9两个点发布版本,其中Go 1.24.3针对安全漏洞进行核心修补,尤其影响到Linux 6.11+环境下的关键功能稳定性。
这次更新不仅修复了一个被标记为CVE-2025-22873的安全漏洞,也解决了大批用户反馈的因锁线程机制导致的程序崩溃问题。本文将为你深入剖析这个版本更新的技术细节、问题根源及其对Go开发生态的现实意义,帮助你快速理解并安全升级。
Go语言以“简单、高效、现代化的系统级开发语言”著称,持续被云计算、容器技术和微服务架构广泛采用。Go团队遵守严格的发布政策,安全问题优先修复,不允许漏洞拖延影响生态安全。
近期,Dan Sebastian Thrane(SDU eScience Center)发现并上报了Go语言运行库os模块中的一个访问控制漏洞:
• 漏洞描述os.Root对象在处理文件路径时,允许用户通过../这样的父目录访问符绕过限制,访问到Root指定路径之外的父目录。• 安全风险
该漏洞潜在致使使用os.Root封装路径访问的程序绕过预期的安全边界,导致敏感目录暴露,产生安全隐患。
除安全问题外,社区同时关注Linux kernel升级至6.11及以上版本后,结合Go 1.24新增的VDSO getrandom支持,部分基于Go写成的容器工具(如Docker和Dagger)出现了因goroutine退出时持有LockOSThread锁导致的随机崩溃。
这是一个细节复杂、影响广泛的问题,由于很多“容器”相关项目需在线程层面精细管理资源,LockOSThread机制极为关键,而该问题严重影响了这些项目在最新系统环境中的稳定运行。
Go 1.24.3的核心亮点即是解决以上os.Root路径逃逸漏洞。
• os.Root是Go标准库中用于基于指定根目录安全访问文件系统的接口,设计目的是封装路径访问,避免越权。• 漏洞允许路径后缀添加../组合,绕过根路径限制打开其父级目录—这与设计初衷相悖。• 影响版本仅限于Go 1.24.x,新发布的1.24.3明确加入了路径校验,强制对含有父目录访问尝试返回错误。func (r Root) Open(name string) (File, error) { if strings.HasSuffix(name, "../") { return nil, errors.New("invalid path: access to parent directory denied") } // 其他正常处理流程}Linux Kernel 6.11新版支持通过VDSO调用的getrandom,这使得Go运行时在1.24版本中改进了与操作系统随机数生成接口的集成,原本旨在优化性能和安全。
Go团队的应对修复编号影响组件修复说明相关Issue链接73555os修复Root允许访问父目录漏洞其他runtime修复Linux 6.11+与LockOSThread相关崩溃随机性相关GitHub PR及issue参考官方发布说明Go 1.24.3版本是一场兼顾安全和稳定性的关键更新,及时解决了可能影响云原生项目安全性和运行可靠性的问题。无论你是开发者、运维,还是发行版维护者,都应认真关注并尽快升级到最新版本。
相信Go语言团队对安全问题的快速响应也体现了其对开源社区和广大用户负责的态度。持续关注Go生态动态,做好版本管理,是确保代码质量和系统安全的最佳途径。
·
我们相信人工智能为普通人提供了一种“增强工具”,并致力于分享全方位的AI知识。在这里,您可以找到最新的AI科普文章、工具评测、提升效率的秘籍以及行业洞察。
·
来源:成都律师蔡俊
