Python Software Foundation (PSF) pośpiesznie wypuścił wersje 3.9.2 i 3.8.8, aby jak najszybciej rozwiązać dwie istotne luki w zabezpieczeniach. Jedna z nich umożliwia zdalne wyłączenie urządzeń.
PSF namawia wszystkich użytkowników Pythona do aktualizacji swoich systemów do wersji 3.8.8 lub 3.9.2, celem usunięcia luki w zabezpieczeniach umożliwiającej zdalne wykonanie kodu (RCE), która to jest znana pod numerem CVE-2021-3177. Prace nad projektem zostały przyspieszone ze względu na wzmożoną presję ze strony użytkowników, którzy byli mocno zaniepokojeni luką w zabezpieczeniach.
Python 3.x do 3.9.1 ma przepełnienie bufora w PyCArg_repr w ctypes / callproc.c, co może doprowadzić do zdalnego wykonania kodu. Ma to wpływ na aplikacje Pythona, które „akceptują liczby zmiennoprzecinkowe jako niezaufane dane wejściowe, co pokazuje argument 1e300 w c_double.from_param”. Błąd występuje, ponieważ „sprintf” jest używany w sposób niebezpieczny.
Ponieważ Python jest wstępnie zainstalowany z wieloma dystrybucjami Linuksa i Windows 10, różne dystrybucje Linuksa, takie jak Debian, wprowadzają poprawki bezpieczeństwa, aby zapewnić ochronę wbudowanych wersji Pythona przed CVE-2021-3177.
Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu to zła wiadomość, jednak RedHat uważa, że największym zagrożeniem wynikającym z tej luki jest dostępność systemu, czyli fakt, że osoba atakująca prawdopodobnie byłaby w stanie przeprowadzić atak typu odmowa usługi (DoS).
Zgłoś naruszenie/Błąd
Pozytywnie
Neutralnie 
Negatywnie
Lubię to!
Super
Ekscytujący 
Ciekawy
Smieszny
Smutny
Wściekły
Przerażony
Szokujący
Wzruszający
Rozczarowany
Zaskoczony
Prawda
Manipulacja
Fake news
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS