Python przyspiesza aktualizację, aby usunąć lukę w kodzie

Python Software Foundation (PSF) pośpiesznie wypuścił wersje 3.9.2 i 3.8.8, aby jak najszybciej rozwiązać dwie istotne luki w zabezpieczeniach. Jedna z nich umożliwia zdalne wyłączenie urządzeń.

PSF namawia wszystkich użytkowników Pythona do aktualizacji swoich systemów do wersji 3.8.8 lub 3.9.2, celem usunięcia luki w zabezpieczeniach umożliwiającej zdalne wykonanie kodu (RCE), która to jest znana pod numerem CVE-2021-3177. Prace nad projektem zostały przyspieszone ze względu na wzmożoną presję ze strony użytkowników, którzy byli mocno zaniepokojeni luką w zabezpieczeniach.

Python 3.x do 3.9.1 ma przepełnienie bufora w PyCArg_repr w ctypes / callproc.c, co może doprowadzić do zdalnego wykonania kodu. Ma to wpływ na aplikacje Pythona, które „akceptują liczby zmiennoprzecinkowe jako niezaufane dane wejściowe, co pokazuje argument 1e300 w c_double.from_param”. Błąd występuje, ponieważ „sprintf” jest używany w sposób niebezpieczny.

Ponieważ Python jest wstępnie zainstalowany z wieloma dystrybucjami Linuksa i Windows 10, różne dystrybucje Linuksa, takie jak Debian, wprowadzają poprawki bezpieczeństwa, aby zapewnić ochronę wbudowanych wersji Pythona przed CVE-2021-3177.

Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu to zła wiadomość, jednak RedHat uważa, że największym zagrożeniem wynikającym z tej luki jest dostępność systemu, czyli fakt, że osoba atakująca prawdopodobnie byłaby w stanie przeprowadzić atak typu odmowa usługi (DoS).