Python編程語言急於更新以解決遠程代碼漏洞

Python軟件基金會（PSF）推出了Python 3.9.2和3.8.8，以解決兩個安全漏洞，其中一個漏洞可遠程利用，但實際上只能用於使計算機脫機。

PSF敦促其眾多的Python用戶將系統升級到Python 3.8.8或3.9.2，尤其是要解決被跟蹤為CVE-2021-3177的遠程代碼執行（RCE）漏洞。

在受到一些擔心安全漏洞的用戶的意外壓力之後，該項目加快了發佈速度。

“自從3.8.8宣佈了3.9.2版本的候選版本以來，由於安全方面的原因，尤其是CVE-2021-3177，我們收到了一些最終用戶的催促，催促我們加快最終版本的速度，” Python說發佈團隊。

PSF說：“這使我們感到有些驚訝，因為我們認為安全性內容是由下游發行者從源頭上挑選的，而RC版本為同時有興趣進行升級的其他人提供了安裝程序。”

“事實證明，候選版本對於社區幾乎是不可見的，並且在許多情況下，由於用戶已經進行了升級，因此無法使用。”

Python 3.x到3.9.1的ctypes/callproc.c中的PyCArg_repr有緩衝區溢出，這可能導致遠程代碼執行。

它會影響“接受浮點數作為不受信任的輸入的Python應用程序，如c_double.from_param的1e300參數所示”。

發生該錯誤是因為不安全地使用了“sprintf”。影響之所以廣泛，是因為Python已預先安裝了多個Linux發行版和Windows 10。

各種Linux發行版（例如Debian）已經向後移植了安全補丁，以確保屏蔽內置版本的Python。