Python編程語言急於更新以解決遠程代碼漏洞
攻擊者只能使您的計算機停頓
最近更新時間 2021-02-23 10:57:45
Python軟件基金會(PSF)推出了Python 3.9.2和3.8.8,以解決兩個安全漏洞,其中一個漏洞可遠程利用,但實際上只能用於使計算機脱機。
PSF敦促其眾多的Python用户將系統升級到Python 3.8.8或3.9.2,尤其是要解決被跟蹤為CVE-2021-3177的遠程代碼執行(RCE)漏洞。
在受到一些擔心安全漏洞的用户的意外壓力之後,該項目加快了發佈速度。
“自從3.8.8宣佈了3.9.2版本的候選版本以來,由於安全方面的原因,尤其是CVE-2021-3177,我們收到了一些最終用户的催促,催促我們加快最終版本的速度,” Python説發佈團隊。
PSF説:“這使我們感到有些驚訝,因為我們認為安全性內容是由下游發行者從源頭上挑選的,而RC版本為同時有興趣進行升級的其他人提供了安裝程序。”
“事實證明,候選版本對於社區幾乎是不可見的,並且在許多情況下,由於用户已經進行了升級,因此無法使用。”
Python 3.x到3.9.1的ctypes/callproc.c中的PyCArg_repr有緩衝區溢出,這可能導致遠程代碼執行。
它會影響“接受浮點數作為不受信任的輸入的Python應用程序,如c_double.from_param的1e300參數所示”。
發生該錯誤是因為不安全地使用了“sprintf”。影響之所以廣泛,是因為Python已預先安裝了多個Linux發行版和Windows 10。
各種Linux發行版(例如Debian)已經向後移植了安全補丁,以確保屏蔽內置版本的Python。