Τρίτη, 23 Φεβρουαρίου, 12:36
Αρχική security Η Python μετά από πιέσεις κυκλοφορεί updates για να αντιμετωπίσει μια ευπάθεια...

Η Python μετά από πιέσεις κυκλοφορεί updates για να αντιμετωπίσει μια ευπάθεια RCE

Το Python Software Foundation (PSF) κυκλοφόρησε τις εκδόσεις Python 3.9.2 και 3.8.8 για να αντιμετωπίσει δύο σοβαρά ελαττώματα ασφαλείας, συμπεριλαμβανομένου ενός σφάλματος RCE.

Το PSF προτρέπει τους χρήστες της Python να αναβαθμίσουν τα συστήματα τους σε Python 3.8.8 ή 3.9.2, ιδίως για να αντιμετωπίσουν την ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) που αναφέρεται ως CVE-2021-3177.

Python

Η εταιρεία επιτάχυνε την κυκλοφορία τους αφού έλαβε απροσδόκητη πίεση από ορισμένους χρήστες που ανησυχούσαν για το ελάττωμα ασφαλείας.

“Από την ανακοίνωση των release candidates των εκδόσεων 3.9.2 και 3.8.8, λάβαμε μια σειρά από έρευνες από τους τελικούς χρήστες που μας προτρέπουν να επισπεύσουμε τις τελικές κυκλοφορίες λόγω του περιεχομένου ασφαλείας, ειδικά του CVE-2021-3177″, δήλωσε η Ρython.

Το Python 3.x έως το 3.9.1 έχει buffer overflow στο PyCArg_repr σε ctypes / callproc.c, το οποίο μπορεί να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα.

Επηρεάζει τις εφαρμογές Python που “δέχονται αριθμούς floating-point ως μη αξιόπιστο input, όπως φαίνεται από το όρισμα 1e300 στο c_double.from_param.”

Το σφάλμα παρουσιάζεται επειδή το “sprintf” χρησιμοποιείται με μη ασφαλή τρόπο. Ο αντίκτυπος είναι ευρύς επειδή το Ρython είναι προεγκατεστημένο με πολλά distributions Linux και Windows 10.

Διάφορα distributions Linux, όπως το Debian, έχουν υποστηρίξει τις ενημερώσεις κώδικα ασφαλείας για να διασφαλίσουν ότι οι ενσωματωμένες εκδόσεις της Python προστατεύονται.

Η ευπάθεια είναι ένα κοινό ελάττωμα μνήμης. Σύμφωνα με την RedHat, ένα buffer overflow (που βασίζεται σε stack) στη μονάδα cyypes της Python επικύρωσε εσφαλμένα το input που πέρασε, “κάτι που θα επέτρεπε σε έναν εισβολέα να κάνει overflow ένα buffer στο stack και να καταστρέψει την εφαρμογή.”

Ενώ η ευπάθεια RCE είναι πραγματικά κάτι πολύ αρνητικό, η RedHat σημειώνει ότι “η μεγαλύτερη απειλή από αυτήν την ευπάθεια είναι η διαθεσιμότητα του συστήματος.” Με άλλα λόγια, ένας εισβολέας πιθανότατα θα ήταν σε θέση να κάνει μια επίθεση denial of service.

Πηγή πληροφοριών: zdnet.com

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Η Python μετά από πιέσεις κυκλοφορεί updates για να αντιμετωπίσει μια ευπάθεια RCE

Το Python Software Foundation (PSF) κυκλοφόρησε τις εκδόσεις Python 3.9.2 και 3.8.8 για να αντιμετωπίσει δύο σοβαρά ελαττώματα ασφαλείας, συμπεριλαμβανομένου ενός σφάλματος...
00:03:59

7 κίνδυνοι που έχει η διπλή εκκίνηση Windows και Linux

https://www.youtube.com/watch?v=ZUvqVlF4x5E Εάν σκέφτεστε να εγκαταστήσετε ένα δεύτερο λειτουργικό σύστημα στον υπολογιστή σας, καλό είναι να λάβετε υπόψη...

Το δικαστήριο του Ηνωμένου Βασιλείου απέρριψε την αγωγή της Epic Games κατά της Apple

Το Ανώτατο Δικαστήριο (Competition Appeal Tribunal) του Ηνωμένου Βασιλείου απέρριψε την αγωγή της Epic Games εναντίον της Apple, με την οποία ο...

Τα προϊόντα VPN της Powerhouse χρησιμοποιούνται σε επιθέσεις DDoS

Κάποιοι χειριστές botnet κάνουν κατάχρηση των VPN servers από τον παροχέα VPN Powerhouse Management ως τρόπο αναπήδησης και ενίσχυσης ανεπιθύμητου traffic μέρους...

Οι χρήστες των social media είναι πιο επιρρεπείς στην παραπληροφόρηση

Σύμφωνα με μία έρευνα, οι χρήστες που επιλέγουν τα social media ως βασική πηγή πληροφόρησης για σημαντικά ζητήματα, όπως ο Covid-19 ή...

Austin Energy – Τέξας: Scammers απειλούν πελάτες με διακοπή ρεύματος!

Η Austin Energy, μια δημόσια επιχείρηση που παρέχει ηλεκτρική ενέργεια στην πόλη του Ώστιν, του Τέξας και των γύρω περιοχών, εξέδωσε στις...

Apple: Εκτοπίζει τη Samsung και γίνεται ο νούμερο 1 πωλητής smartphone

Σύμφωνα με την εταιρεία Gartner, η Apple έρχεται ξανά στην κορυφή και γίνεται ο νούμερο 1 πωλητής smartphone (παίρνοντας τη θέση από...

NurseryCam: Webcam σύστημα παρακολούθησης παιδιών νηπιαγωγείου εκτέθηκε σε χάκερς

Η NurseryCam, μία εταιρεία παροχής webcam συστημάτων, τα οποία επιτρέπουν σε γονείς να παρακολουθούν τα παιδιά τους ενώ βρίσκονται στο νηπιαγωγείο, ενημέρωσε...

Η Ρωσία πίσω από μαζικές κυβερνοεπιθέσεις σε ουκρανικά sites!

Η Ουκρανία κατηγόρησε στις 22 Φεβρουαρίου ανώνυμα δίκτυα διαδικτύου που συνδέονται με τη Ρωσία, για μαζικές κυβερνοεπιθέσεις οι οποίες έχουν ως στόχο...

Δορυφορικό Internet Starlink: Ο Musk υπόσχεται διπλάσιες ταχύτητες μέσα στο 2021

Ο Διευθύνων Σύμβουλος της SpaceX, Elon Musk, δήλωσε στο Twitter ότι η υπηρεσία δορυφορικού Internet της εταιρείας...