дома безопасность Python после давления выпускает обновления для устранения уязвимости ...

Python находится под давлением, чтобы выпустить обновления для устранения уязвимости RCE

Python Software Foundation (PSF) выпустил версии Python 3.9.2 и 3.8.8 для устранения двух основных уязвимостей безопасности, включая ошибку RCE.

PSF призывает пользователей Python обновить свои системы до Python 3.8.8 или 3.9.2, в частности, для устранения уязвимости удаленного выполнения кода (RCE), известной как CVE-2021-3177.

Питон

Компания ускорила их распространение после неожиданного давления со стороны некоторых пользователей, обеспокоенных уязвимостью системы безопасности.

«С момента объявления релиз-кандидатов версий 3.9.2 и 3.8.8 мы получили серию опросов от конечные пользователи что мы побуждать для ускорения финальных выпусков из-за содержания безопасности, особенно CVE-2021-3177 ″, - сказал Python.

Python 3.x - 3.9.1 имеет переполнение буфера в PyCArg_repr на ctypes / callproc.c, что может привести к удаленному выполнению кода.

Влияет на приложения Python, которые «принимают числа с плавающей запятой как ненадежный ввод, как показано аргументом 1e300 в c_double.from_param».

Ошибка возникает из-за небезопасного использования sprintf. Воздействие велико, потому что Python поджат со многими дистрибутивами Linux и Окна 10.

Различные дистрибутивы Linux, такие как Debian, поддерживают исправления безопасности для обеспечивать что встроенные версии Python защищены.

Уязвимость - это распространенный дефект памяти. Согласно RedHat, один переполнение буфера (на основе стека) в модуле Cyypes Python неверно проверили ввод, "что позволило бы злоумышленнику переполнить буфер в стеке и уничтожить приложение".

Хотя уязвимость RCE на самом деле является очень негативной, RedHat отмечает, что «самая большая угроза от этой уязвимости доступность системы. » Другими словами, злоумышленник, вероятно, сможет совершить атаку отказа в обслуживании.

Источник информации: zdnet.com

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ