Python 紧急修复远程代码执行漏洞
编译:奇安信代码卫士团队
PSF 指出,发布候选版本中包含两个安全修复方案:CVE-2021-3177 和 CVE-2021-23336。在计算 ctypes.c_double 和 ctypes.c_longdouble 值的 repr 时避免静态缓冲区,修复CVE-2021-3177。将查询参数分隔符默认设置为 &,并允许用户选择自定义分隔符,修复 web 缓存投毒漏洞 (CVE-2021-23336)。
PSF 指出,虽然 CVE-2021-3177 被列为“远程代码执行”漏洞,但这类漏洞遭利用的可能性非常小,因为要实现成功的 RCE,必须满足如下条件:
远程一方将不受信任的浮点数传递给 ctypes.c_double.from_param(注:Python 浮点数不受影响)
将该对象传递给repr() (例如通过 logging)
使该浮点数成为有效的机器代码
使该缓冲区溢出漏洞在执行代码的地方覆写栈。
而 Red Hat 评估该漏洞认为“最大的威胁是系统可用性”。当然,通过恶意输入造成拒绝服务后果也是重要问题。
发布3.9.2和3.8.8的候选版本后,PSF 收到大量终端用户因安全内容(尤其是 CVE-2021-3177)而要求发布最终版本的查询。PSF 原以为安全内容是下游发行商精选的,而发布候选版本为有升级需求的其他人发布了安装程序。但实际上发布候选版本基本对社区不可见,而且在很多情况下由于现有的升级流程而无法被使用。为此,PSF 决定停止位漏洞修复版本提供发布候选版本。最终, PSF 为那些认为发布候选版本不够的社区成员发布了最终的 3.9.2和3.8.8稳定版本。
人生苦短,黑客也首选 Python
APT组织 Evilnum 使用新型 Python APT 攻击金融企业
https://blog.python.org/2021/02/python-392-and-388-are-now-available.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。