Η ομάδα της γλώσσας προγραμματισμού Go κυκλοφόρησε εκδόσεις σημείων έκτακτης ανάγκης, Go 1.25.6 και 1.24.12, για να αντιμετωπίσει έξι ελαττώματα ασφαλείας με μεγάλο αντίκτυπο.
Αυτές οι ενημερώσεις διορθώνουν διανύσματα άρνησης υπηρεσίας (DoS), αυθαίρετους κινδύνους εκτέλεσης κώδικα και κακούς χειρισμούς TLS που θα μπορούσαν να εκθέσουν τους προγραμματιστές σε απομακρυσμένες επιθέσεις.
Αν και δεν χαρακτηρίζονται ως έκδοση 1.26, οι ενημερώσεις κώδικα απαιτούν άμεσες αναβαθμίσεις για έργα που βασίζονται στην τυπική βιβλιοθήκη της Go, ειδικά σε διακομιστές ιστού, εργαλεία κρυπτογράφησης και συστήματα κατασκευής.
Ανακοινώθηκε μέσω των επίσημων καναλιών, η ακολουθούν κυκλοφορίες Αυστηρή πολιτική ασφαλείας της Go, πιστώνοντας εξωτερικούς ερευνητές για αποκαλύψεις.
Δυαδικές λήψεις είναι διαθέσιμες στο go.dev/dl, με πλήρεις σημειώσεις στο go.dev/doc/devel/release#go1.25.6. Οι εισβολείς θα μπορούσαν να τα εκμεταλλευτούν σε περιβάλλοντα που δεν έχουν επιδιορθωθεί, από αναλυτές ZIP έως χειραψίες TLS.
Βασικά τρωτά σημεία και διαδρομές εκμετάλλευσης
Μεταξύ των επιδιορθώσεων, το Request.ParseForm του net/http ξεχωρίζει για την εξάντληση της μνήμης. Κακόβουλες φόρμες με κωδικοποίηση URL με υπερβολικά ζεύγη κλειδιών-τιμών ενεργοποιούν εκχωρήσεις μεγάλου μεγέθους, ακρωτηριάζοντας τους διακομιστές υπό φόρτωση. Ομοίως, η υπερ-γραμμική ευρετηρίαση ονομάτων αρχείου του archive/zip προσκαλεί DoS μέσω δημιουργημένων αρχείων.
Πιο σοβαρά είναι τα σφάλματα cmd/go που επιτρέπουν την εκτέλεση κώδικα. Το CgoPkgConfig παρέκαμψε την απολύμανση σημαίας, εκτελώντας το pkg-config με μη ασφαλείς εισόδους. Ο χειρισμός Toolchain VCS (Git/Mercurial) επέτρεψε σε κακόβουλες εκδόσεις λειτουργικών μονάδων ή τομείς να εκτελούν κώδικα ή να αντικαθιστούν αρχεία που ενεργοποιούνται μέσω προσαρμοσμένων διαδρομών go get, αν και όχι στο @latest.
Το TLS εκθέτει σύνθετους κινδύνους: Το Config.Clone διέρρευσε αυτόματα δημιουργημένα κλειδιά εισιτηρίων περιόδου λειτουργίας, επιτρέποντας μη εξουσιοδοτημένες επαναλήψεις σε όλες τις ρυθμίσεις παραμέτρων.
Οι έλεγχοι συνεδρίας αγνόησαν τις λήξεις πλήρους αλυσίδας πιστοποιητικών και τα μηνύματα χειραψίας που υποβλήθηκαν σε επεξεργασία σε λάθος επίπεδα κρυπτογράφησης κινδύνευαν να διαρρεύσουν πληροφορίες από πακέτα που εισήχθησαν.
| Αναγνωριστικό CVE | Συστατικό | Περιγραφή Περίληψη | Μετάβαση στον σύνδεσμο θέματος | Δημοσιογράφος |
|---|---|---|---|---|
| CVE-2025-61728 | αρχειοθέτηση/zip | Η υπερ-γραμμική ευρετηρίαση ονομάτων αρχείου προκαλεί DoS σε κακόβουλα ZIP | go.dev/issue/77102 | Jakub Ciolek |
| CVE-2025-61726 | net/http | Εξάντληση μνήμης από υπερβολικά ζεύγη κλειδιών-τιμών | go.dev/issue/77101 | jub0bs |
| CVE-2025-68121 | crypto/tls | Config.Clone διαρρέει κλειδιά συνεδρίας. αγνοεί τη λήξη της πλήρους αλυσίδας πιστοποιητικών | go.dev/issue/77113 | Coia Prant (rbqvq) |
| CVE-2025-61731 | cmd/go | Η παράκαμψη σημαίας CgoPkgConfig οδηγεί σε αυθαίρετη εκτέλεση κώδικα | go.dev/issue/77100 | RyotaK (GMO Flatt Security) |
| CVE-2025-68119 | cmd/go | Η παρερμηνεία της αλυσίδας εργαλείων VCS επιτρέπει την εγγραφή κώδικα exec/file | go.dev/issue/77099 | splitline (DEVCORE) |
| CVE-2025-61730 | crypto/tls | Τα μηνύματα χειραψίας υποβλήθηκαν σε επεξεργασία σε εσφαλμένο επίπεδο κρυπτογράφησης (αποκάλυψη πληροφοριών) | go.dev/issue/76443 | Coia Prant (rbqvq) |
Συμβουλές αναβάθμισης και μετριασμού
Οι προγραμματιστές θα πρέπει να καρφιτσώσουν στην 1.25.6 ή στην 1.24.12 αμέσως, αναδημιουργώντας τα δυαδικά αρχεία μέσω git checkout go1.25.6. Σάρωση εξαρτήσεων για ευάλωτες μονάδες.
Δεν έχουν δημοσιευθεί ακόμη βαθμολογίες CVSS, αλλά οι δυνατότητες DoS και RCE είναι υψηλές. Η προληπτική επιδιόρθωση της Go υπογραμμίζει την υγιεινή της εφοδιαστικής αλυσίδας στο τοπίο απειλών του 2026.
