Команда разработчиков языка Go выпустила минорные обновления версий 1.25.6 и 1.24.12. Эти релизы, соответствующие политике безопасности проекта, устраняют шесть серьезных уязвимостей. Эксплуатация данных недостатков могла привести к атакам на отказ в обслуживании (DoS), выполнению произвольного кода и несанкционированному восстановлению сессий. Специалисты настоятельно рекомендуют разработчикам немедленно обновить свои среды.
Детали уязвимостей
Наиболее распространенная угроза связана с уязвимостью CVE-2025-61726 в пакете "net/http". Проблема заключалась в функции "Request.ParseForm", где недостаточная проверка URL-кодированных данных формы могла спровоцировать неожиданное выделение памяти во время парсинга. Злоумышленники, эксплуатируя эту уязвимость, могли исчерпать доступную системную память, что приводило к полной неотзывчивости приложений.
Еще один вектор для атак на доступность был устранен в модуле "archive/zip" (CVE-2025-61728). Уязвимость заключалась в использовании суперлинейного алгоритма индексации файлов. В результате обработка специально сконструированных ZIP-архивов выполнялась крайне неэффективно, вызывая катастрофическое падение производительности при попытке их открытия.
Помимо угроз доступности, обновления исправляют критические недостатки, ставящие под угрозу целостность и конфиденциальность данных. В модуле "crypto/tls" была обнаружена уязвимость CVE-2025-68121, связанная с несанкционированным восстановлением TLS-сессий. Архитектурный просмотр в функции "Config.Clone" приводил к тому, что автоматически сгенерированные ключи сессионных билетов копировались между различными конфигурациями, которые должны были оставаться изолированными. Более того, серверная реализация не проверяла срок действия всего цепочки сертификатов при возобновлении сессии. Это позволяло сессиям сохраняться даже после истечения срока действия промежуточных или корневых сертификатов. В совокупности эти недостатки создавали условия для обхода аутентификации и компрометации зашифрованного канала связи.
Наибольшую опасность представляли две критические уязвимости в инструментарии "cmd/go", ведущие к выполнению произвольного кода (Arbitrary Code Execution, RCE). Уязвимость CVE-2025-61731 позволяла обойти санитизацию флагов компилятора "CgoPkgConfig", в результате чего непроверенные флаги достигали утилиты "pkg-config". Другая проблема, CVE-2025-68119, была связана с интеграцией систем контроля версий (VCS). На системах с установленным Mercurial неправильное построение команд VCS могло привести к неожиданному выполнению кода в процессе загрузки модулей. В случае с Git злонамеренные строки версий, содержащиеся в модуле, могли быть записаны в произвольные файловые локации. Обе уязвимости открывали пути для удаленного выполнения кода (RCE).
Также была устранена уязвимость средней степени серьезности CVE-2025-61730 в "crypto/tls". Она могла привести к незначительному раскрытию информации через инъекцию в пределах локальной сети.
Выпуск обновлений Go 1.25.6 и 1.24.12 является важным шагом по усилению безопасности ядра языка, включая криптографические, сетевые компоненты и инструментальную цепочку. Учитывая высокий уровень угроз, особенно связанных с выполнением произвольного кода через инструмент "go", организациям и разработчикам следует расценить установку этих патчей как первоочередную задачу для поддержания безопасности своих приложений и инфраструктуры.
