Python 'sock_recvfrom_into()'函数缓冲区溢出漏洞

CVE编号

CVE-2014-1912

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-03-01

漏洞描述

Python是一款开放源代码的脚本编程语言。 Python存在缓冲区溢出漏洞。由于应用程序未能对用户提供的输入进行充分的边界检查，攻击者可以利用漏洞在受影响的应用程序上下文中执行任意代码。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://www.python.org/

参考链接
http://bugs.python.org/issue20246
http://hg.python.org/cpython/rev/87673659d8f7
http://lists.apple.com/archives/security-announce/2015/Aug/msg00001.html
http://lists.opensuse.org/opensuse-updates/2014-04/msg00035.html
http://lists.opensuse.org/opensuse-updates/2014-05/msg00008.html
http://pastebin.com/raw.php?i=GHXSmNEg
http://rhn.redhat.com/errata/RHSA-2015-1064.html
http://rhn.redhat.com/errata/RHSA-2015-1330.html
http://www.debian.org/security/2014/dsa-2880
http://www.exploit-db.com/exploits/31875
http://www.openwall.com/lists/oss-security/2014/02/12/16
http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html
http://www.oracle.com/technetwork/topics/security/linuxbulletinjan2016-2867209.html
http://www.securityfocus.com/bid/65379
http://www.securitytracker.com/id/1029831
http://www.ubuntu.com/usn/USN-2125-1
https://security.gentoo.org/glsa/201503-10
https://support.apple.com/kb/HT205031
https://www.trustedsec.com/february-2014/python-remote-code-execution-socket-...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	python	python	2.5.1	-
	运行在以下环境
	应用	python	python	2.5.150	-
	运行在以下环境
	应用	python	python	2.5.2	-
	运行在以下环境
	应用	python	python	2.5.3	-
	运行在以下环境
	应用	python	python	2.5.4	-
	运行在以下环境
	应用	python	python	2.5.6	-
	运行在以下环境
	应用	python	python	2.6.1	-
	运行在以下环境
	应用	python	python	2.6.2	-
	运行在以下环境
	应用	python	python	2.6.2150	-
	运行在以下环境
	应用	python	python	2.6.3	-
	运行在以下环境
	应用	python	python	2.6.4	-
	运行在以下环境
	应用	python	python	2.6.5	-
	运行在以下环境
	应用	python	python	2.6.6	-
	运行在以下环境
	应用	python	python	2.6.6150	-
	运行在以下环境
	应用	python	python	2.6.7	-
	运行在以下环境
	应用	python	python	2.6.8	-
	运行在以下环境
	应用	python	python	2.7.1	-
	运行在以下环境
	应用	python	python	2.7.1150	-
	运行在以下环境
	应用	python	python	2.7.2	-
	运行在以下环境
	应用	python	python	2.7.2150	-
	运行在以下环境
	应用	python	python	2.7.3	-
	运行在以下环境
	应用	python	python	2.7.4	-
	运行在以下环境
	应用	python	python	2.7.5	-
	运行在以下环境
	应用	python	python	2.7.6	-
	运行在以下环境
	应用	python	python	3.0	-
	运行在以下环境
	应用	python	python	3.0.1	-
	运行在以下环境
	应用	python	python	3.1	-
	运行在以下环境
	应用	python	python	3.1.1	-
	运行在以下环境
	应用	python	python	3.1.2	-
	运行在以下环境
	应用	python	python	3.1.2150	-
	运行在以下环境
	应用	python	python	3.1.3	-
	运行在以下环境
应用	python	python	3.1.4	-
运行在以下环境
应用	python	python	3.1.5	-
运行在以下环境
应用	python	python	3.2	-
运行在以下环境
应用	python	python	3.2.0	-
运行在以下环境
应用	python	python	3.2.1	-
运行在以下环境
应用	python	python	3.2.2	-
运行在以下环境
应用	python	python	3.2.2150	-
运行在以下环境
应用	python	python	3.2.3	-
运行在以下环境
应用	python	python	3.2.4	-
运行在以下环境
应用	python	python	3.2.5	-
运行在以下环境
应用	python	python	3.3	-
运行在以下环境
应用	python	python	3.3.0	-
运行在以下环境
应用	python	python	3.3.1	-
运行在以下环境
应用	python	python	3.3.2	-
运行在以下环境
应用	python	python	3.3.3	-
运行在以下环境
应用	python	python	3.4	-
运行在以下环境
系统	debian	DPKG	*		Up to (excluding) 0
运行在以下环境
系统	redhat_6	python	*		Up to (excluding) 0:2.6.6-64.el6
运行在以下环境
系统	suse_12	python-devel	*		Up to (excluding) 2.7.7-2
运行在以下环境
系统	ubuntu_12.04_lts	python2.7	*		Up to (excluding) 2.7.3-0ubuntu3.5

攻击路径远程
攻击复杂度复杂
权限要求普通权限
影响范围全局影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性数据泄露
数据完整性传输被破坏
服务器危害服务器失陷
全网数量 N/A

CWE-ID 漏洞类型 CWE-119 内存缓冲区边界内操作的限制不恰当

正文

Python 'sock_recvfrom_into()'函数缓冲区溢出漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Jazz Reporting Service-Rational-CLM安全绕过管理任务执行漏洞

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

IBM Security Network Protection GSKit信息泄露漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]