Python przyspiesza aktualizację, aby usunąć lukę w kodzie
Python Software Foundation (PSF) pośpiesznie wypuścił wersje 3.9.2 i 3.8.8, aby jak najszybciej rozwiązać dwie istotne luki w zabezpieczeniach. Jedna z nich umożliwia zdalne wyłączenie urządzeń.
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
PSF namawia wszystkich użytkowników Pythona do aktualizacji swoich systemów do wersji 3.8.8 lub 3.9.2, celem usunięcia luki w zabezpieczeniach umożliwiającej zdalne wykonanie kodu (RCE), która to jest znana pod numerem CVE-2021-3177. Prace nad projektem zostały przyspieszone ze względu na wzmożoną presję ze strony użytkowników, którzy byli mocno zaniepokojeni luką w zabezpieczeniach.
Python 3.x do 3.9.1 ma przepełnienie bufora w PyCArg_repr w ctypes / callproc.c, co może doprowadzić do zdalnego wykonania kodu. Ma to wpływ na aplikacje Pythona, które „akceptują liczby zmiennoprzecinkowe jako niezaufane dane wejściowe, co pokazuje argument 1e300 w c_double.from_param”. Błąd występuje, ponieważ „sprintf” jest używany w sposób niebezpieczny.
Ponieważ Python jest wstępnie zainstalowany z wieloma dystrybucjami Linuksa i Windows 10, różne dystrybucje Linuksa, takie jak Debian, wprowadzają poprawki bezpieczeństwa, aby zapewnić ochronę wbudowanych wersji Pythona przed CVE-2021-3177.
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu to zła wiadomość, jednak RedHat uważa, że największym zagrożeniem wynikającym z tej luki jest dostępność systemu, czyli fakt, że osoba atakująca prawdopodobnie byłaby w stanie przeprowadzić atak typu odmowa usługi (DoS).
