[[386255]]

 近日，Python 軟件基金會（PSF）釋出 Python 3.8.8 和 3.9.2  版本，該版本主要修復了兩個值得注意的安全漏洞，其中一個名為“CVE-2021-3177”的漏洞容易被攻擊者遠程利用，基于代碼執行可讓計算機脫機。

乍一看，讓計算機脫機并不是什么大事，不過，倘若真的被有心之人利用該漏洞，那么，使用 Python 的用戶難免會有一段糟心的體驗。

對此，在 Python 3.8.8 和或 3.9.2 RC 版本剛剛發布三天之后，在部分用戶對安全漏洞擔憂的壓力下，新版 Python 加快了發布的進程。同時，PSF 敦促 Python 用戶盡快將系統升級到 Python 3.8.8 或 3.9.2，特別是需要解決被跟蹤為 CVE-2021-3177 的遠程代碼執行（RCE）漏洞。

Python 發布團隊表示："自從宣布 Python 3.8.8 和 3.9.2 RC 版本發布以來，我們收到了來自終端用戶的一些關于 CVE-2021-3177 安全方面的詢問，并敦促我們加快最終版本的發布。”

具體的漏洞在于，Python 3.x 到 3.9.1 的 ctypes/callproc.c 中 PyCArg_repr 具有緩沖溢出，這可能導致遠程代碼執行。

它也會影響到 "接受浮點數作為不信任的輸入的 Python 應用程序，如 c_double. param 的 1e300 參數所示。

該 Bug 的發生是因為不安全地使用了"sprintf"。影響之所以廣泛，因為 Python 已預裝安裝到了多個 Linux 發行版和 Windows 10 系統中。

當前，各種 Linux 發行版（如 Debian）已經向后移植了安全補丁，以確保屏蔽內置版本的 Python。

RedHat 也發布公告表示，該漏洞是常見的內存缺陷。“在 Python 內提供的 ctypes 模塊中發現了基于堆棧的緩沖區溢出。使用 ctypes 而不仔細驗證傳遞給它的輸入的應用程序可能容易受到此漏洞的攻擊，這將允許攻擊者通過緩沖區溢出并使應用程序奔潰。”

同時紅帽也針對自家的版本進行了安全版本說明：

雖然遠程代碼執行漏洞是一則壞消息，不過，紅帽官方指出這個漏洞帶來的最大威脅是對系統可用性的威脅，這意味著攻擊者可能只能發動拒絕服務攻擊，簡單來講，就是讓計算機停止提供服務。

不過，為了避免一些不必要的麻煩，還是呼吁大家盡快升級。

•  Python 新版下載地址：https://www.python.org/downloads/