Python编程语言急于更新以解决远程代码漏洞
Lasted 2021-02-23 10:57:45
Python软件基金会(PSF)推出了Python 3.9.2和3.8.8,以解决两个安全漏洞,其中一个漏洞可远程利用,但实际上只能用于使计算机脱机。
PSF敦促其众多的Python用户将系统升级到Python 3.8.8或3.9.2,尤其是要解决被跟踪为CVE-2021-3177的远程代码执行(RCE)漏洞。
在受到一些担心安全漏洞的用户的意外压力之后,该项目加快了发布速度。
“自从3.8.8宣布了3.9.2版本的候选版本以来,由于安全方面的原因,尤其是CVE-2021-3177,我们收到了一些最终用户的催促,催促我们加快最终版本的速度,” Python说发布团队。
PSF说:“这使我们感到有些惊讶,因为我们认为安全性内容是由下游发行者从源头上挑选的,而RC版本为同时有兴趣进行升级的其他人提供了安装程序。”
“事实证明,候选版本对于社区几乎是不可见的,并且在许多情况下,由于用户已经进行了升级,因此无法使用。”
Python 3.x到3.9.1的ctypes/callproc.c中的PyCArg_repr有缓冲区溢出,这可能导致远程代码执行。
它会影响“接受浮点数作为不受信任的输入的Python应用程序,如c_double.from_param的1e300参数所示”。
发生该错误是因为不安全地使用了“sprintf”。影响之所以广泛,是因为Python已预先安装了多个Linux发行版和Windows 10。
各种Linux发行版(例如Debian)已经向后移植了安全补丁,以确保屏蔽内置版本的Python。