Python软件基金会(PSF)已发布Python版本3.9.2和3.8.8,以解决两个主要的安全漏洞,包括RCE错误。
PSF敦促Python用户将其系统升级到Python 3.8.8或3.9.2,尤其是要解决称为CVE-2021-3177的远程代码执行(RCE)漏洞。
在受到一些担心安全漏洞的用户的意外压力之后,该公司加快了发行速度。
“自宣布版本3.9.2和3.8.8的候选版本以来,我们收到了来自 终端用户 那我们 敦促 Python表示,由于安全性内容,尤其是CVE-2021-3177”,将加快最终发布速度。
Python 3.x至3.9.1在ctypes / callproc.c上的PyCArg_repr中存在缓冲区溢出,这可能导致远程执行代码。
影响“接受浮点数作为不可靠的输入的Python应用程序,如c_double.from_param中的参数1e300所示”。
发生错误是因为以不安全的方式使用“ sprintf”。 影响是广泛的,因为Python是 预装 与许多Linux发行版和 窗户10.
各种Linux发行版(例如Debian)都支持安全补丁 保障 嵌入式Python版本受到保护。
漏洞是常见的内存缺陷。 根据RedHat的说法, 缓冲区溢出 (基于堆栈)在Python cyypes单元中错误地验证了输入,“这将使攻击者溢出堆栈中的缓冲区并破坏 应用设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“
尽管RCE漏洞实际上是非常负面的,但RedHat指出“此漏洞的最大威胁是 系统可用性。” 换句话说,攻击者可能能够拒绝服务攻击。
信息来源:zdnet.com
Greek
Chinese (Simplified)
English
Greek
Russian κυκλοφόρησε τις εκδόσεις Python 3.9.2 και 3.8.8 για να αντιμετωπίσει δύο σοβαρά ελαττώματα ασφαλείας.){kind=link}