在你去之前停下来补丁并运行任何东西
在发现编码错误之后,正在鼓励Go服务器的管理员修补他们的系统,留下未解决的错误,绕过过滤旁路或请求走私风险。
漏洞(CVE-2019-16276)得到解决更新酌情去1.13.1或1.12.10。
在A.咨询,Go的开发人员 - 一种也称为golang的开源编程语言 - 解释问题的根本原因:
用于接受和正常化在冒号前的空格的空格,违反RFC 7230的空格,用于接受和正常化的NET / HTTP(通过NET / TEXPROTO)。
如果Go服务器在接受和转发的罕见反向代理后面使用但不正常化此类无效标头后,则反向代理和服务器可以以不同方式解释标题。
根据咨询,漏洞可能导致过滤绕过或请求走私- 后者可能发生在“从代理的相同上游连接到相同的上游连接”上时会发生。
“此类无效标题现在由Go服务器拒绝,并在不归一化以转到客户端应用程序的情况下传递,”安全通知(也发布在github上)增加。
开发人员信用证安全研究人员安德鲁斯蒂斯·亚当斯·斯科尔和Jan Masarik发现和报告问题。
你可能还喜欢Adobe发出紧急补丁的紧急补丁漏洞
