Python 软件基金会 (PSF) 紧急推出 Python 3.9.2 和 3.8.8 稳定版,解决两个严重的安全缺陷,其中一个从理论上讲可遭远程利用但实际上仅可导致机器宕机。
PSF 指出,发布候选版本中包含两个安全修复方案:CVE-2021-3177 和 CVE-2021-23336。在计算 ctypes.c_double 和 ctypes.c_longdouble 值的 repr 时避免静态缓冲区,修复CVE-2021-3177。将查询参数分隔符默认设置为 &,并允许用户选择自定义分隔符,修复 web 缓存投毒漏洞 (CVE-2021-23336)。
PSF 指出,虽然 CVE-2021-3177 被列为“远程代码执行”漏洞,但这类漏洞遭利用的可能性非常小,因为要实现成功的 RCE,必须满足如下条件:
远程一方将不受信任的浮点数传递给 ctypes.c_double.from_param(注:Python 浮点数不受影响)
将该对象传递给repr() (例如通过 logging)
使该浮点数成为有效的机器代码
使该缓冲区溢出漏洞在执行代码的地方覆写栈。
而 Red Hat 评估该漏洞认为“最大的威胁是系统可用性”。当然,通过恶意输入造成拒绝服务后果也是重要问题。
发布3.9.2和3.8.8的候选版本后,PSF 收到大量终端用户因安全内容(尤其是 CVE-2021-3177)而要求发布最终版本的查询。PSF 原以为安全内容是下游发行商精选的,而发布候选版本为有升级需求的其他人发布了安装程序。但实际上发布候选版本基本对社区不可见,而且在很多情况下由于现有的升级流程而无法被使用。为此,PSF 决定停止位漏洞修复版本提供发布候选版本。最终, PSF 为那些认为发布候选版本不够的社区成员发布了最终的 3.9.2和3.8.8稳定版本。
原文链接
https://blog.python.org/2021/02/python-392-and-388-are-now-available.html
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。