android 漏洞 python,不得了了!Python 又爆出重大 Bug~

最新推荐文章于 2023-03-15 15:00:00 发布
最新推荐文章于 2023-03-15 15:00:00 发布
阅读量66 收藏
点赞数
文章标签: android 漏洞 python

原标题:不得了了!Python 又爆出重大 Bug~

和30w+一起学Python!

670d565381ef5aece9b679dcd92674e4.png

来源:CSDN

近日,Python 软件基金会(PSF)释出 Python 3.8.8 和 3.9.2 版本,该版本主要修复了两个值得注意的安全漏洞,其中一个名为“CVE-2021-3177”的漏洞容易被攻击者远程利用,基于代码执行可让计算机脱机。

乍一看,让计算机脱机并不是什么大事,不过,倘若真的被有心之人利用该漏洞,那么,使用 Python 的用户难免会有一段糟心的体验。

具体的漏洞在于,Python 3.x 到 3.9.1 的 ctypes/callproc.c 中 PyCArg_repr 具有缓冲溢出,这可能导致远程代码执行。

它也会影响到 "接受浮点数作为不信任的输入的 Python 应用程序,如 c_double. param 的 1e300 参数所示。

该 Bug 的发生是因为不安全地使用了"sprintf"。影响之所以广泛,因为 Python 已预装安装到了多个 Linux 发行版和 Windows 10 系统中。

当前,各种 Linux 发行版(如 Debian)已经向后移植了安全补丁,以确保屏蔽内置版本的 Python。

RedHat 也发布公告表示,该漏洞是常见的内存缺陷。“在 Python 内提供的 ctypes 模块中发现了基于堆栈的缓冲区溢出。使用 ctypes 而不仔细验证传递给它的输入的应用程序可能容易受到此漏洞的攻击,这将允许攻击者通过缓冲区溢出并使应用程序奔溃。”

d720463ae9fda06dec5386da469109ec.png

同时红帽也针对自家的版本进行了安全版本说明:

05e36250fd5c078a496402b40e63a1a3.png

虽然远程代码执行漏洞是一则坏消息,不过,红帽官方指出这个漏洞带来的最大威胁是对系统可用性的威胁,这意味着攻击者可能只能发动拒绝服务攻击,简单来讲,就是让计算机停止提供服务。

不过,为了避免一些不必要的麻烦,还是呼吁大家尽快升级。

Python 新版下载地址:

https://www.python.org/downloads/

责任编辑:

杨小荷
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android使用JNI调用Python so解释器
07-11
Android使用JNI调用Python so解释器
chatgpt赋能pythonPython怎么入侵手机
m0_56069948的博客
06-10 1371
本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是chatgpt能力的冰山一角。作为通用的Aigc大模型,只是展现它原本的实力。对于颠覆工作方式的ChatGPT,应该选择拥抱而不是抗拒,未来属于“会用”AI的人。🧡AI职场汇报智能办公文案写作效率提升教程 🧡专注于AI+职场+办公方向。下图是课程的整体大纲下图是AI职场汇报智能办公文案写作效率提升教程中用到的ai工具。
六种黑客入侵手机的常见方式
m0_61869253的博客
03-15 2774
在移动网络科技高速发展的今天,我们每个人的手机都有可能成为黑客攻击的对象,下面为大家介绍6种黑客入侵手机的常见方式,希望能够帮助大家避免手机被不对象攻击。网络钓鱼攻击非常普遍。那是因为它们非常有效,不需要付出太多的工作量。没有人会故意在手机上安装恶意应用程序。然而,大多数人并不知道如何检查在线链接是否安全。黑客部署了精心设计的网络钓鱼计划,并创建了看起来非常接近原始页面的页面。最明显的是缺少 SSL 证书。如果您在网络钓鱼站点上输入您的信息,它们会立即传输给黑客,然后黑客可以访问您的应用程序。
python 测试app漏洞_Python代码审计实例三则
weixin_42171208的博客
12-20 281
目录一、SQL盲注二、身份认证逻辑三、条件竞争突然发现,笔者接触代码审计工作也有一年半的时间了,经历的大大小小的代码审计项目百余项,但是并没有好好的研究过关于python的代码审计内容,或者说python有什么需要审计的呢?fortify拓展插件貌似也支持python审计,至少原版我没成功过。但,前不久一个小伙伴还是问了我python代码审计的问题,code终究还是code,万变不离其宗...
openstack 代码下载_开发安全、高质量代码的 5 款顶级 Python 工具
weixin_39993454的博客
10-28 73
为提高代码的质量、安全性和可维护性,软件工程师每天会用到无数工具。我会列出一些自己最喜欢的 python 工具,并从易用性(是否易于安装、运行和自动化)、质量影响(能否阻止可预见的 bug)、可维护性影响(是否让工作更轻松)和安全性影响(能否发现并阻止安全性问题)对它们进行打分,以供读者参考。并且,我还将介绍如何将这些工具全包含进 CI pipeline,从而实现自动化和高效。1.Pipenv它是...
项目场景:Python应用中的BUG及应用记录
The丶Star
05-15 161
项目场景:Python使用中的BUG记录 1. ‘utf-8’ codec can’t decode byte 0xd3 in position 0: invalid continuation byte 问题描述: 文件不是 UTF8 编码的,而系统默认采用 UTF8 解码。解决方法是改为对应的解码方式。 解决方案: (1)找到csv文件–》右键–》打开方式–》记事本 (2)打开记事本之后,选择头部菜单的“文件–》另存为”,可以看到文件的默认编码格式为ANSI,修改为utf-8即可。 ...
bug22款Python游戏!
04-04
bug22款Python游戏!
python-for-android:将您的Python应用程序转换为Android APK
02-02
适用于Androidpython python-for-androidAndroidPython应用程序的打包工具。 您可以创建自己的Python发行版(包括所需的模块和依赖项),并将其与自己的代码捆绑在APK中。 功能包括: 不同的应用程序后端,...
Android-Python
10-04
Android-Studio与Python环境配置文件
好玩的Python猜数字游戏,超便宜!!!无bug,无毒!
04-04
好玩的Python猜数字游戏,超便宜!!!无bug,无毒!
python入侵手机_Python-Iocextract:高级入侵威胁标识符IoC提取工具
weixin_39664431的博客
11-29 533
工具介绍Python-Iocextract是一款高级入侵威胁标识符IoC提取工具,它可以从文本语料库提取URL、IP地址、MD5/SHA哈希、电子邮件地址和YARA规则,其中还包括某些已编码或已被“破坏”的入侵威胁标识符。因为网络犯罪分子为了防止暴露自己的恶意活动以及攻击内容,通常都会想办法“破坏”类似URL和IP地址这样的入侵威胁标识符。在这种情况下,有效提取和汇总这些IoC对于安全分析人员来说...
python多线程挂了_利用Python多线程来测试并发漏洞
weixin_39907316的博客
12-18 108
需求介绍有时候想看看Web应用在代码或者数据库层有没有加锁,比如在一些支付、兑换类的场景,通过多线程并发访问的测试方式可以得到一个结论。步骤1. Burp Suite安装插件安装一个Copy As Python-Requests插件,提高编码效率; 2. 拦截包并拷贝发包的代码 打开一个文本编辑器,右键粘贴出来:import requestsburp0_url = "https://www.bai...
Python开发:简单的密码爆破工具
Hacker_DB的博客
04-13 2563
我们进行在线密码破解时,使用 BurpSuite 以及 wfuzz 足以应对大部分网站应用场景。但是在遇到一些特殊情况时我们还是需要自己来开发密码爆破工具,本文将介绍如何使用Python开发一款简单的密码爆破工具。
java反编译工具_App安全检测实践基础——工具
weixin_39520775的博客
10-22 397
网安引领时代,弥天点亮未来0x00目录简述ApktoolApk反编译得到Java源代码dex2jarjd-gui.exe劫持工具使用方法adb工具PYTHON2.7drozer工具安装及使用使用drozer对app进行测试0x01APKTooLapktool:简而言之就是获取资源文件,主要查看res文件下xml文件、AndroidManifest.xml和图片。(注意:如果直接解压...
Elasticsearch初识与简单案例.pdf
04-29
Elasticsearch是一个基于Lucene的分布式全文搜索引擎,提供灵活且高效的搜索和分析功能。通过HTTP请求和客户端库,用户可以索引和搜索文档,执行复杂查询,进行数据分析,并享受高亮显示等特性。其高级功能如复合查询、聚合分析、滚动搜索等,使其适用于各种数据处理和分析场景。Elasticsearch还具有强大的监控和日志功能,确保集群稳定运行。总之,Elasticsearch是企业级搜索和分析的理想选择。
Python基于LSTM模型对全国的空气质量数据进行可视化分析预测源代码
最新发布
04-29
介绍 对全国2019年1月至2023年12月的空气质量数据进行分析,绘制时间序列图,展示每月/每季度的平均AQI变化趋势。绘制不同省份和城市的平均AQI热力图。分析不同污染物的浓度分布和趋势。绘制空气质量等级分布图。 需求说明 对空气质量数据进行数据分析,并使用LSTM模型进行预测。 安装教程 pip install jupyter pip install numpy pandas matplotlib seaborn 使用说明 在项目路径下打开终端输入jupyter notebook就行
百问网linux桌面GUI,基于LVGL 8.x。.zip
04-29
百问网linux桌面GUI,基于LVGL 8.x。
基于Vue开发的XMall商城前台页面 PC端.zip
04-29
基于Vue开发的XMall商城前台页面 PC端.zip
2019年中国民航大学电子设计竞赛E题-自动导航运输车
04-29
2019年中国民航大学电子设计竞赛E题-自动导航运输车 全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考
mac版本Android studio报错 No Python installation found! It is required by OpenCL codegen.怎么办
05-27
这个错误是因为你的 Android Studio 没有正确配置 Python 环境。你需要安装 Python 并将其添加到系统的环境变量中。 以下是具体步骤: 1. 首先,确保你已经在你的 Mac 上安装了 Python。你可以在终端中输入以下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值