当前位置:  首页 互联网 详情

Python,被爆大,Bug,虽然远程代码执行漏洞是一则坏消息

发布来源:互联网    发布时间:2021-02-24 07:59

整理 苏宓

乍一看,让计算机脱机并不是什么大事,不过,倘若真的被有心之人利用该漏洞,那么,使用 Python 的用户难免会有一段糟心的体验。

具体的漏洞在于,Python 3.x 到 3.9.1 的 ctypes/callproc.c 中 PyCArg_repr 具有缓冲溢出,这可能导致远程代码执行。

它也会影响到 接受浮点数作为不信任的输入的 Python 应用程序,如 c_double. param 的 1e300 参数所示。

该 Bug 的发生是因为不安全地使用了“sprintf”影响之所以广泛,因为 Python 已预装安装到了多个 Linux 发行版和 Windows 10 中。

当前,各种 Linux 发行版(如 Debian)已经向后移植了安全补丁,以确保屏蔽内置版本的 Python。

RedHat 也发布公告表示,该漏洞是常见的内存缺陷。“在 Python 内的 ctypes 模块中发现了基于堆栈的缓冲区溢出。使用 ctypes 而不仔细验证传递给它的输入的应用程序可能容易受到此漏洞的攻击,这将允许攻击者通过缓冲区溢出并使应用程序奔溃。”

Python,被爆大,Bug,虽然远程代码执行漏洞是一则坏消息(图1)

同时红帽也针对自家的版本进行了安全版本说明:

Python,被爆大,Bug,虽然远程代码执行漏洞是一则坏消息(图2)

虽然远程代码执行漏洞是一则坏, 不过,红帽指出这个漏洞带来的最大威胁是对可用性的威胁,这意味着攻击者可能只能发动拒绝服务攻击,简单来讲,就是让计算机停止服务。

本文相关词条概念解析:

漏洞

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说,比如在IntelPentium芯片中存在的逻辑错误,在Sendmail早期版本中的编程错误,在NFS协议中认证方式上的弱点,在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用,威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。。

相关资讯

相关推荐

网友评论