Python官方紧急修复两个漏洞:可导致拒绝服务等

Python 软件基金会 (PSF) 紧急推出 Python 3.9.2 和 3.8.8 稳定版,解决两个严重的安全缺陷,其中一个从理论上讲可遭远程利用但实际上仅可导致机器宕机。

PSF 指出,发布候选版本中包含两个安全修复方案:CVE-2021-3177 和 CVE-2021-23336。在计算 ctypes.c_double 和 ctypes.c_longdouble 值的 repr 时避免静态缓冲区,修复CVE-2021-3177。将查询参数分隔符默认设置为 &,并允许用户选择自定义分隔符,修复 web 缓存投毒漏洞 (CVE-2021-23336)。

PSF 指出,虽然 CVE-2021-3177 被列为“远程代码执行”漏洞,但这类漏洞遭利用的可能性非常小,因为要实现成功的 RCE,必须满足如下条件:

  • 远程一方将不受信任的浮点数传递给 ctypes.c_double.from_param(注:Python 浮点数不受影响)

  • 将该对象传递给repr() (例如通过 logging)

  • 使该浮点数成为有效的机器代码

  • 使该缓冲区溢出漏洞在执行代码的地方覆写栈。

而 Red Hat 评估该漏洞认为“最大的威胁是系统可用性”。当然,通过恶意输入造成拒绝服务后果也是重要问题。

发布3.9.2和3.8.8的候选版本后,PSF 收到大量终端用户因安全内容(尤其是 CVE-2021-3177)而要求发布最终版本的查询。PSF 原以为安全内容是下游发行商精选的,而发布候选版本为有升级需求的其他人发布了安装程序。但实际上发布候选版本基本对社区不可见,而且在很多情况下由于现有的升级流程而无法被使用。为此,PSF 决定停止位漏洞修复版本提供发布候选版本。最终, PSF 为那些认为发布候选版本不够的社区成员发布了最终的 3.9.2和3.8.8稳定版本。

原文链接

https://blog.python.org/2021/02/python-392-and-388-are-now-available.html

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。

安全内参
我还没有学会写个人说明!
上一篇

【HTB系列】靶机Frolic的渗透测试详解

下一篇

2021 年最想学习的五大编程语言,竟然没有它

你也可能喜欢

评论已经被关闭。

插入图片