近日，嘉诚安全监测到CNNVD官方发布了Google Golang多个漏洞的安全风险通告，漏洞编号为：CNNVD-202210-124（CVE-2022-2880）、CNNVD-202210-126（CVE-2022-2879）。

Google Golang是美国谷歌（Google）公司的一种静态强类型、编译型语言。Go的语法接近C语言，但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程（CSP）为基础，采取类似模型的其他语言包括Occam和Limbo，但它也具有Pi运算的特征，比如通道传输。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快下载补丁进行更新，避免引发漏洞相关的网络安全事件。

CNNVD-202210-124（CVE-2022-2880）

该漏洞源于net/http/httputil:ReverseProxy不应该转发不可解析的查询参数。

CNNVD-202210-126（CVE-2022-2879）

该漏洞源于archive/tar读取头文件时内存消耗不受限制。

通用修复建议：

根据影响版本中的信息，厂商已发布升级补丁以修复漏洞，补丁获取链接：

CNNVD-202210-124（CVE-2022-2880）

https://github.com/golang/go/issues/54663

CNNVD-202210-126（CVE-2022-2879）

https://github.com/golang/go/issues/54853