go: security bump to version 1.7.4
authorPeter Korsgaard <peter@korsgaard.com>
Mon, 23 Jan 2017 15:17:46 +0000 (16:17 +0100)
committerPeter Korsgaard <peter@korsgaard.com>
Mon, 23 Jan 2017 22:01:27 +0000 (23:01 +0100)
commit5c9db62171cefb125193a6f814a0046536fc76a1
tree76a13eec9d9ec31e8ba34060f308d213a11f8bce
parent5e2f55d41f9c0e86376d84f3829393b418bea039
go: security bump to version 1.7.4

On Darwin, user's trust preferences for root certificates were not honored.
If the user had a root certificate loaded in their Keychain that was
explicitly not trusted, a Go program would still verify a connection using
that root certificate.  This is addressed by https://golang.org/cl/33721,
tracked in https://golang.org/issue/18141.  Thanks to Xy Ziemba for
identifying and reporting this issue.

The net/http package's Request.ParseMultipartForm method starts writing to
temporary files once the request body size surpasses the given "maxMemory"
limit.  It was possible for an attacker to generate a multipart request
crafted such that the server ran out of file descriptors.  This is addressed
by https://golang.org/cl/30410, tracked in https://golang.org/issue/17965.
Thanks to Simon Rawet for the report.

Signed-off-by: Peter Korsgaard <peter@korsgaard.com>
package/go/go.hash
package/go/go.mk