Python远程代码执行漏洞(CVE-2021-3177)

发布时间 2021-02-24

0x00 漏洞概述

CVE  ID

CVE-2021-3177

时   间

2021-02-24

类   型

RCE

等   级

严重

远程利用

影响范围

Python 3.x- 3.9.1

 

0x01 漏洞详情

image.png

 

Python是当前最受欢迎的程序设计语言之一,它提供了高效的高级数据结构,能够简单有效地面向对象编程。随着版本的不断更新和语言新功能的添加,逐渐被用于独立的、大型项目的开发。

2021年02月19日,Python官方发布安全公告,公开了python中的一个RCE漏洞(CVE-2021-3177),其CVSSv3评分为9.8。

 Python ctypes模块是Python内建的用于调用动态链接库函数的功能模块。由于未检查sprintf()函数的长度,_ctypes/callproc.c中的PyCArg_repr()函数中存在缓冲区溢出漏洞,这可能会导致某些接受浮点数作为不可信输入的Python应用程序中的远程代码执行。

当天,Redhat官方也发布了该漏洞的安全通告,其对该漏洞的CVSSv3评分为5.9,并表示此漏洞带来的最大威胁是对系统的可用性。Python官方则认为该漏洞不太可能被利用,因为造成RCE需要满足以下条件:

l  从远程端传递一个不受信任的浮点数到ctypes.c_double.from_param (注意:Python浮点数不受影响)。

l  将该对象传递给repr()(例如通过日志记录)。

l  使浮点数成为有效的机器代码。

l  让缓冲区溢出在正确的位置覆盖堆栈,让代码得到执行。

 

可使用如下命令造成缓冲区溢出:

>>> from ctypes import *

>>> c_double.from_param(1e300)

*** buffer overflow detected ***: terminated

Aborted

 

目前该漏洞的PoC已经公开,验证如下:

image.png


image.png


此外,Python还公开了另一个Web缓存中毒漏洞(CVE-2021-23336)。0-3.6.13、3.7.0-3.7.10、3.8.0-3.8.8、3.9.0-3.9.2的python/cpython包通过使用名为parameter cloaking的向量,容易受到通过urllib.parse.parse_qsl和urllib.parse.parse_qs的Web缓存中毒。


0x02 处置建议

建议升级到Python 3.6.13、3.7.10、3.8.8或3.9.2。

下载链接:

Python 3.9.2

https://www.python.org/downloads/release/python-392/

 

Python 3.8.8

https://www.python.org/downloads/release/python-388/

 

0x03 参考链接

https://blog.python.org/2021/02/python-392-and-388-are-now-available.html

https://access.redhat.com/security/cve/cve-2021-3177

https://bugs.python.org/issue42938

https://www.randori.com/cve-2021-3177-vulnerability-analysis/

 

0x04 时间线

2021-02-19  Python发布安全公告

2021-02-24  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png