<ins id="jxy61"><option id="jxy61"><menu id="jxy61"></menu></option></ins>
          1. 煉數成金 門戶 大數據 安全 查看內容

            不得了!Python 又爆出重大 Bug~

            2021-3-2 09:28| 發布者: 煉數成金_小數| 查看: 23966| 評論: 0|來自: CSDN

            摘要: 近日,Python 軟件基金會(PSF)釋出 Python 3.8.8 和 3.9.2 版本,該版本主要修復了兩個值得注意的安全漏洞,其中一個名為 “CVE-2021-3177” 的漏洞容易被攻擊者遠程利用,基于代碼執行可讓計算機脫機。乍一看,讓 ...
            近日,Python 軟件基金會(PSF)釋出 Python 3.8.8 和 3.9.2  版本,該版本主要修復了兩個值得注意的安全漏洞,其中一個名為 “CVE-2021-3177” 的漏洞容易被攻擊者遠程利用,基于代碼執行可讓計算機脫機。

            乍一看,讓計算機脫機并不是什么大事,不過,倘若真的被有心之人利用該漏洞,那么,使用 Python 的用戶難免會有一段糟心的體驗。

            對此,在 Python 3.8.8 和或 3.9.2 RC 版本剛剛發布三天之后,在部分用戶對安全漏洞擔憂的壓力下,新版 Python 加快了發布的進程。同時,PSF 敦促 Python 用戶盡快將系統升級到 Python 3.8.8 或 3.9.2,特別是需要解決被跟蹤為 CVE-2021-3177 的遠程代碼執行(RCE)漏洞。

            Python 發布團隊表示:" 自從宣布 Python 3.8.8 和 3.9.2 RC 版本發布以來,我們收到了來自終端用戶的一些關于 CVE-2021-3177 安全方面的詢問,并敦促我們加快最終版本的發布!

            具體的漏洞在于,Python 3.x 到 3.9.1 的 ctypes/callproc.c 中 PyCArg_repr 具有緩沖溢出,這可能導致遠程代碼執行。

            它也會影響到 " 接受浮點數作為不信任的輸入的 Python 應用程序,如 c_double. param 的 1e300 參數所示。

            該 Bug 的發生是因為不安全地使用了 "sprintf"。影響之所以廣泛,因為 Python 已預裝安裝到了多個 Linux 發行版和 Windows 10 系統中。

            當前,各種 Linux 發行版(如 Debian)已經向后移植了安全補丁,以確保屏蔽內置版本的 Python。

            RedHat 也發布公告表示,該漏洞是常見的內存缺陷!霸 Python 內提供的 ctypes 模塊中發現了基于堆棧的緩沖區溢出。使用 ctypes 而不仔細驗證傳遞給它的輸入的應用程序可能容易受到此漏洞的攻擊,這將允許攻擊者通過緩沖區溢出并使應用程序奔潰!


            同時紅帽也針對自家的版本進行了安全版本說明:


            雖然遠程代碼執行漏洞是一則壞消息,不過,紅帽官方指出這個漏洞帶來的較大威脅是對系統可用性的威脅,這意味著攻擊者可能只能發動拒絕服務攻擊,簡單來講,就是讓計算機停止提供服務。

            不過,為了避免一些不必要的麻煩,還是呼吁大家盡快升級。

            Python 新版下載地址:
            https://www.python.org/downloads/

            聲明:文章收集于網絡,版權歸原作者所有,為傳播信息而發,如有侵權,請聯系小編刪除,謝謝!

            歡迎加入本站公開興趣群
            軟件開發技術群
            興趣范圍包括:Java,C/C++,Python,PHP,Ruby,shell等各種語言開發經驗交流,各種框架使用,外包項目機會,學習、培訓、跳槽等交流
            QQ群:26931708

            Hadoop源代碼研究群
            興趣范圍包括:Hadoop源代碼解讀,改進,優化,分布式系統場景定制,與Hadoop有關的各種開源項目,總之就是玩轉Hadoop
            QQ群:288410967 

            鮮花
            1

            握手

            雷人

            路過

            雞蛋

            剛表態過的朋友 (1 人)

            相關閱讀

            最新評論

            熱門頻道

            • 大數據

            即將開課

             

            GMT+8, 2021-4-11 11:05 , Processed in 0.382540 second(s), 25 queries .

            年轻人手机在线观看