漏洞概述 在 TLS 1.3 协议中,如果 TLS 连接的一方在单个记录(single record)中发送多个后握手密钥更新(key update)消息,会导致连接死锁(deadlock)。这种情况会导致资源不受控制的消耗,从而引发拒绝服务(Denial of Service, DoS)攻击。 影响范围 受影响组件: Go 语言的 包。 受影响协议版本: TLS 1.3。 受影响版本: Go 1.25, Go 1.26, 以及 Go 1.27 (master branch)。 关联 CVE: CVE-2026-32283 (注:截图中显示为2026,可能是笔误,通常应为当前年份或前一年)。 修复方案 该漏洞已通过以下代码变更(Change List / CL)进行修复,旨在防止客户端发送多个密钥更新消息时发生死锁: Go 1.25 分支修复: https://go.dev/cl/763548 - Go 1.26 分支修复: https://go.dev/cl/763555 - 主分支 (Go 1.27) 修复: https://go.dev/cl/763767 -