近日,Python软件基金会(PSF)发布了Python3.8.8和3.9.2版本。该版本主要修复了两个值得注意的安全漏洞,其中一个名为“CVE-2021-3177”的漏洞可被攻击者远程利用,基于代码的执行可以使计算机离线。乍一看,让电脑下线没什么大不了的,但如果真的被有心人利用了,那么使用Python的用户难免会有不好的体验。对此,在Python3.8.8和/或3.9.2RC版本发布仅三天后,在部分用户关注安全漏洞的压力下,新版Python加快了发布进程。同时,PSF敦促Python用户尽快将系统升级到Python3.8.8或3.9.2,特别是解决被跟踪为CVE-2021-3177的远程代码执行(RCE)漏洞。“自宣布Python3.8.8和3.9.2RC版本发布以来,我们收到了最终用户关于CVE-2021-3177安全方面的一些询问,敦促我们加快最终版本发布,”Python发布团队表示。具体漏洞是Python3.x到3.9.1在ctypes/callproc.c中的PyCArg_repr存在缓冲区溢出,可能导致远程代码执行。它还会影响“接受浮点数作为不受信任输入的Python应用程序,如c_double.param的1e300参数所示。”该错误是由于不安全地使用“sprintf”而发生的。影响广泛是因为Python已经预装在多个Linux发行版和Windows10系统中。目前,各种Linux发行版(如Debian)都向后移植了安全补丁,以确保内置版本的Python被屏蔽。RedHat还发布公告称,该漏洞是一个常见的内存缺陷。在Python中提供的ctypes模块中发现了基于堆栈的缓冲区溢出。使用ctypes且未仔细验证传递给它的输入的应用程序可能容易受到此漏洞的影响,这将允许攻击者溢出缓冲区并使应用程序崩溃。”同时,红帽还针对自家版本发布了安全版本说明:远程代码执行漏洞虽然是个坏消息,但是红帽官方指出,该漏洞带来的最大威胁是对系统可用性的威胁,也就是说攻击者可能只能发起拒绝服务攻击,简单来说就是让电脑停止提供服务,但是为了避免一些不必要的麻烦,还是呼吁大家尽快升级可能。新版Python下载地址:https://www.python.org/downloads/
