1 安全漏洞
2月19号,Python 软件基金会(PSF)发布了 Python 3.8.8 和 3.9.2 版本。
这两个版本主要修复了两个值得注意的安全漏洞,其中一个名为“CVE-2021-3177”的漏洞容易被攻击者远程利用,基于代码执行可让计算机崩溃。
本来只要发布最新的3.9.2就可以,同时发布3.8.8是为了方便使用3.8的用户只要更新补丁版本就可以了,没必要为此升级到3.9。毕竟对于复杂的软件,升级一个小版本需要做全面的测试,代价沉重。
PSF敦促Python用户尽快将系统升级到Python3.8.8或3.9.2,特别是需要解决被跟踪为 CVE-2021-3177 的远程代码执行(RCE)漏洞。
Linux,Windows等平台也纷纷通知各自的用户的尽快升级Python:
1.Redhat给的警告
2.Windows给的警告
2 原理解释
这个漏洞的英文描述是这样的:
这是3.9的Release notes:
说人话,简单来说漏洞的发生是这样的:
1.Python使用了一些C语言写的数据类型,被称为ctype,其中一个就是callproc.c。
2.这个callproc.c有漏洞,可以造成黑客在你的电脑上执行他的代码,访问或者修改缓存区的敏感数据,造成系统崩溃等。
3.这个漏洞发生的条件是:你的程序接受用户输入的浮点数,并且没有验证浮点数的合法性。黑客可能传入的不是浮点数,而是一段代码,进而非法访问缓存区内的数据,造成系统崩溃。更进一步这个漏洞和C语言中的sprintf有关系。
大概的过程是这样的:
基本上,这个问题最大的伤害就是造成你的系统崩溃。
这对于个人用户是关系不大的。但是对服务器
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
