Python远程代码执行漏洞(CVE-2021-3177)
发布时间 2021-02-240x00 漏洞概述
CVE ID | CVE-2021-3177 | 时 间 | 2021-02-24 |
类 型 | RCE | 等 级 | 严重 |
远程利用 | 是 | 影响范围 | Python 3.x- 3.9.1 |
0x01 漏洞详情
Python是当前最受欢迎的程序设计语言之一,它提供了高效的高级数据结构,能够简单有效地面向对象编程。随着版本的不断更新和语言新功能的添加,逐渐被用于独立的、大型项目的开发。
2021年02月19日,Python官方发布安全公告,公开了python中的一个RCE漏洞(CVE-2021-3177),其CVSSv3评分为9.8。
Python ctypes模块是Python内建的用于调用动态链接库函数的功能模块。由于未检查sprintf()函数的长度,_ctypes/callproc.c中的PyCArg_repr()函数中存在缓冲区溢出漏洞,这可能会导致某些接受浮点数作为不可信输入的Python应用程序中的远程代码执行。
当天,Redhat官方也发布了该漏洞的安全通告,其对该漏洞的CVSSv3评分为5.9,并表示此漏洞带来的最大威胁是对系统的可用性。Python官方则认为该漏洞不太可能被利用,因为造成RCE需要满足以下条件:
l 从远程端传递一个不受信任的浮点数到ctypes.c_double.from_param (注意:Python浮点数不受影响)。
l 将该对象传递给repr()(例如通过日志记录)。
l 使浮点数成为有效的机器代码。
l 让缓冲区溢出在正确的位置覆盖堆栈,让代码得到执行。
可使用如下命令造成缓冲区溢出:
>>> from ctypes import *
>>> c_double.from_param(1e300)
*** buffer overflow detected ***: terminated
Aborted
目前该漏洞的PoC已经公开,验证如下:
此外,Python还公开了另一个Web缓存中毒漏洞(CVE-2021-23336)。0-3.6.13、3.7.0-3.7.10、3.8.0-3.8.8、3.9.0-3.9.2的python/cpython包通过使用名为parameter cloaking的向量,容易受到通过urllib.parse.parse_qsl和urllib.parse.parse_qs的Web缓存中毒。
0x02 处置建议
建议升级到Python 3.6.13、3.7.10、3.8.8或3.9.2。
下载链接:
Python 3.9.2
https://www.python.org/downloads/release/python-392/
Python 3.8.8
https://www.python.org/downloads/release/python-388/
0x03 参考链接
https://blog.python.org/2021/02/python-392-and-388-are-now-available.html
https://access.redhat.com/security/cve/cve-2021-3177
https://bugs.python.org/issue42938
https://www.randori.com/cve-2021-3177-vulnerability-analysis/
0x04 时间线
2021-02-19 Python发布安全公告
2021-02-24 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/