Go 1.25.6 發布！六大安全漏洞修復與性能優化全解析（CVE-2025系列全面更新）

2026年1月16日，Go 官方正式發布Go 1.25.6，這是 Go 1.25 分支的重要維護更新版本。本次更新聚焦于多個安全漏洞修復與穩定性增強，涵蓋crypto/tls、net/http、archive/zip、cmd/go、runtime、os等核心模塊。其目標是提高 Go 語言在服務端、工具鏈及系統調用場景下的安全性與可靠性。以下為詳細更新內容梳理：

一、核心安全更新（CVE 修復匯總）

本次 Go 1.25.6 一共修復了多項高危漏洞，以下為重點安全問題說明：

1.crypto/tls

• ?問題：Config.Clone在拷貝時會復制自動生成的會話票據密鑰，導致證書鏈過期后仍可能被錯誤復用。

• ?影響：會話恢復未正確考慮完整證書鏈的過期時間。

• ?修復：更新會話票據密鑰復制邏輯，確保會話恢復正確驗證證書有效性。

• ?漏洞編號：CVE-2025-68121

• ?問題：在解析任意 ZIP 文件時可能觸發拒絕服務攻擊。

• ?影響：持續處理惡意壓縮包可導致高資源消耗。

• ?修復：優化 ZIP 解析邏輯，增加邊界與大小驗證。

• ?漏洞編號：CVE-2025-61728

• ?問題：Request.ParseForm存在內存耗盡風險。

• ?影響：惡意請求可導致服務器耗盡內存。

• ?修復：增加內存使用限制及防御機制。

• ?漏洞編號：CVE-2025-61726

• ?問題一：標志（flag）清理繞過，可能導致任意代碼執行。

• ?修復：完善 flag 校驗邏輯。

• ?漏洞編號：CVE-2025-61731

• ?問題二：調用工具鏈時可能出現意外代碼執行。

• ?修復：加強命令調用安全檢查。

• ?漏洞編號：CVE-2025-68119

• ? 修復errors.Join在多錯誤組合時的行為不一致問題。

• ? 修復編譯器在執行sccp優化時，可能出現 panic 或索引越界的崩潰問題。

• ? 有助于提升編譯穩定性。

• ? 修復 TLS 1.3 握手時多余消息問題，確保初次握手消息正確性。

• ? 修復了在ppc64le平臺上使用競態檢測器（race detector）時的崩潰問題。

• ? 解決了 Windows 386 平臺上os/signal堆棧拆分錯誤的問題。

• ? 在 Unix 系統中，Readdirnames可能跳過 inode 為零的條目，本次更新修正此行為。

• ? 優化了包初始化邏輯：處理標準輸入被阻塞時的初始化卡死問題。

• ? 當啟用 ECH（Encrypted ClientHello）時，earlyTrafficSecret現在將正確使用ClientHelloInner。

• ?發布時間：2026年1月16日

• ?版本分支：release-branch.go1.25

• ?版本號：go1.25.6

• ?定位：穩定性與安全性增強版本

• ?里程碑標識：Go1.25.6

• ?標簽：CherryPickApproved（官方確認合并）

以上修復均已通過自動與人工審核，所有CherryPickApproved問題均已標記為Closed（已完成）。
本版本被用于 Go 官方在進行點更新（point releases）期間的安全合并和版本發布流程。

五、升級建議

建議所有使用 Go 1.25.x 的開發者立即升級至Go 1.25.6，以獲得最新的安全防護與穩定性改進。
特別是使用 TLS、HTTP、ZIP 解析、以及自行調用cmd/go工具鏈的應用場景，均受到此次安全修復的直接影響。

結語：

代碼地址：github.com/golang/go

Go 1.25.6 是 Go 官方對穩定性和安全性的再次加固版本，針對近期披露的多項 CVE 漏洞進行了全面修復，體現了 Go 團隊對長期維護分支的持續投入。開發者應及時更新以保障生產環境的安全與可靠。

我們相信人工智能為普通人提供了一種“增強工具”，并致力于分享全方位的AI知識。在這里，您可以找到最新的AI科普文章、工具評測、提升效率的秘籍以及行業洞察。 歡迎關注“福大大架構師每日一題”，發消息可獲得面試資料，讓AI助力您的未來發展。