Go 1.18.3 发布

大家好，今早 Go 官方发布了 Go1.18.3 和 Go1.17.11，这是两个小版本，主要涉及 4 个安全问题修复。

• crypto/rand: Windows 系统下，当缓冲区很大时，rand.Read 会 hang 住。具体来说是大于 1 << 32 - 1 字节时。这是微软开发人员反馈的。https://go.dev/issue/52561

• crypto/tls: session tickets lack random ticket_age_add。crypto/tls 生成的 Session tickets 没有包含随机产生的 ticket_age_add。这可能在 TLS 握手阶段会被攻击。https://go.dev/issue/52814

• os/exec: 在 Windows 下，空的 Cmd.Path 可能会导致运行一个异常的二进制，比如运行的是 ..com、..exe 等。https://go.dev/issue/52574

• path/filepath: 在 Windows 下，Clean(.\c:) 会返回 c:，而实际上 .\c: 是一个无效的路径。即有可能将无效的路径转为有效的。https://go.dev/issue/52476

4 个 Bug，3 个是 Windows 系统下的。

Go 语言中文网已经为大家准备好了最新版本的下载：https://studygolang.com/dl。建议用到了 crypto/tls 的用户升级，Windows 下的用户建议也升级下。