Python 3.9.2 และ 3.8.8 เพื่อแก้ไขช่องโหว่ Buffer Overflow
Python Software Foundation (PSF) ได้ออก Python 3.9.2 และ 3.8.8 เพื่อแก้ไขช่องโหว่ Buffer Overflow ซึ่งอาจเป็นช่องทางให้ Hacker ใช้ทำการโจมตี Remote Code Execution รหัส CVE-2021-3177
Python 3.x ถึง 3.9.1 มี Buffer Overflow ใน PyCArg_repr ใน ctypes / callproc.c ซึ่งอาจนำไปการโจมตี Remote Code Execution ซึ่งช่องโหว่นี้เกิดจากการใช้ sprintf” อย่างไม่ปลอดภัย
ช่องโหว่ดังกล่าวเป็น Bug ของหน่วยความจำทั่วไปกับ RedHat Stack-based Buffer Overflow ทำให้โมดูล ctypes ของ Python ตรวจสอบอินพุตที่ส่งผ่านไปไม่ถูกต้อง อาจทำให้ Hacker โจมตี Buffer Overflow บน Stack และทำให้ Application ใช้งานไม่ได้
และยังมีช่องโหว่ Web Cache Poisoning (CVE-2021-23336) ผ่าน urllib .parse.parse_qsl และ urllib.parse.parse_qs โดยใช้เวกเตอร์ Called parameter cloaking
คำแนะนำ
Update Python ให้เป็น Version ปัจจุบัน
ที่มา: https://access.redhat.com/security/cve/cve-2021-3177