查看原文
其他

Python 紧急修复远程代码执行漏洞

PSF 代码卫士 2022-05-23

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

Python 软件基金会 (PSF) 紧急推出 Python 3.9.2 和 3.8.8 稳定版,解决两个严重的安全缺陷,其中一个从理论上讲可遭远程利用但实际上仅可导致机器宕机。


PSF 指出,发布候选版本中包含两个安全修复方案:CVE-2021-3177 和 CVE-2021-23336。在计算 ctypes.c_double 和 ctypes.c_longdouble 值的 repr 时避免静态缓冲区,修复CVE-2021-3177。将查询参数分隔符默认设置为 &,并允许用户选择自定义分隔符,修复 web 缓存投毒漏洞 (CVE-2021-23336)。

PSF 指出,虽然 CVE-2021-3177 被列为“远程代码执行”漏洞,但这类漏洞遭利用的可能性非常小,因为要实现成功的 RCE,必须满足如下条件:

  • 远程一方将不受信任的浮点数传递给 ctypes.c_double.from_param(注:Python 浮点数不受影响)

  • 将该对象传递给repr() (例如通过 logging)

  • 使该浮点数成为有效的机器代码

  • 使该缓冲区溢出漏洞在执行代码的地方覆写栈。

而 Red Hat 评估该漏洞认为“最大的威胁是系统可用性”。当然,通过恶意输入造成拒绝服务后果也是重要问题。

发布3.9.2和3.8.8的候选版本后,PSF 收到大量终端用户因安全内容(尤其是 CVE-2021-3177)而要求发布最终版本的查询。PSF 原以为安全内容是下游发行商精选的,而发布候选版本为有升级需求的其他人发布了安装程序。但实际上发布候选版本基本对社区不可见,而且在很多情况下由于现有的升级流程而无法被使用。为此,PSF 决定停止位漏洞修复版本提供发布候选版本。最终, PSF 为那些认为发布候选版本不够的社区成员发布了最终的 3.9.2和3.8.8稳定版本。





推荐阅读
谷歌开源 Python 代码漏洞查找工具 Atheris
人生苦短,黑客也首选 Python
APT组织 Evilnum 使用新型 Python APT 攻击金融企业



原文链接

https://blog.python.org/2021/02/python-392-and-388-are-now-available.html


题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存