今天是:
设为4008com云顶集团  |  加入收藏
信息化建设办公室
4008com云顶集团|部门简介|工作动态|通知公告|招标公告|网络安全|规章制度|常见问题|党建工作|资料下载
关于Microsoft HTTP.sys ... 06-05
关于Adobe发布更新修复产... 03-24
关于Python官方紧急修复... 02-28
关于TeamViewer远程代码... 09-15
关于WebLogic Server高危... 07-20
更多>> 
请输入要搜索信息的内容!

办公地点:信科楼203
办公电话:(023)58802817
办公邮箱:xxb@cqsxzy.edu.cn

 
安全公告
关于Python官方紧急修复两个漏洞的安全公告
2021-02-28 13:51   审核人:

一、情况分析

Python软件基金会(PSF)近日紧急推出Python 3.9.2和3.8.8稳定版,解决两个严重的安全缺陷,分别为CVE-2021-3177和CVE-2021-23336。PSF指出,CVE-2021-23336为web缓存投毒漏洞,CVE-2021-3177被列为“远程代码执行”漏洞,但这类漏洞遭利用的可能性非常小,因为要实现成功的远程代码执行,必须满足如下条件:

1、远程一方将不受信任的浮点数传递给ctypes.c_double.from_param(注:Python浮点数不受影响)。

2、将该对象传递给repr()(例如通过logging)。

3、使该浮点数成为有效的机器代码。

4、使该缓冲区溢出漏洞在执行代码的地方覆写栈。

而Red Hat评估该漏洞认为“最大的威胁是系统可用性”。当然,通过恶意输入造成拒绝服务也是非常严重的问题。

二、影响范围

CVE-2021-23336受影响的产品包括:从Python 3.x到3.9.1。

CVE-2021-23336受影响的产品包括:从0到3.6.13之前,从3.7.0到3.7.10之前,从3.8.0到3.8.8之前,从3.9.0到3.9.2之前。

三、处置建议

Python软件基金会(PSF)推出的Python 3.9.2和3.8.8稳定版,解决了以上两个严重的安全缺陷。在计算ctypes.c_double和ctypes.c_longdouble值的repr时避免静态缓冲区,修复CVE-2021-3177;将查询参数分隔符默认设置为&,并允许用户选择自定义分隔符,修复web缓存投毒漏洞(CVE-2021-23336)。

请师生在确保安全的前提下,尽快升级对应的版本,避免引发漏洞相关的网络安全事件。3.9.2和3.8.8的下载地址如下:

https://www.python.org/downloads/release/python-392/

https://www.python.org/downloads/release/python-388/

附:参考链接:

https://blog.python.org/


关闭窗口
 
 
 

Copyright@2020 版权所有:4008com云顶集团  网络安全信息中心  渝ICP备05013922-1号 

XML 地图 | Sitemap 地图