首页 > 动态 > 关键词 > Python最新资讯 > 正文

云安全日报200929:云计算热门语言Python发现注入漏洞,需要尽快升级

2020-09-29 15:14 · 稿源:TechWeb.com.cn

Python是一种跨平台的计算机程序设计语言。它结合了解释性、编译性、互动性和面向对象的诸多特性,最初设计用于编写自动化脚本,然而随着版本的不断更新和语言新功能的添加,越多被用于独立的、大型项目的开发。近些年,Python尤其在云计算,人工智能(AI)领域,应用十分广泛。不过最近Python爆出了比较严重的注入漏洞,需要尽快升级。以下是漏洞详情:

漏洞详情

CVE ID: CVE-2020-26116 CVSS评分: 5.0 中

Python http.client(Python 网络模块)存在注入漏洞。该漏洞源于用户输入构造命令、数据结构或记录的操作过程中,网络系统或产品缺乏对用户输入数据的正确验证,未过滤或未正确过滤掉其中的特殊元素,导致系统或产品产生解析或解释方式错误。攻击者利用此漏洞可以得到管理员的账号密码等重要隐私。

受影响产品和版本

Python 3.x系列3.5.10之前版本

Python 3.6.x系列3.6.12之前版本

Python 3.7.x系列3.7.9之前版本

Python 3.8.x系列3.8.5之前版本

解决方案

对于Python 3.x系列3.5.10之前版本:

升级Python 3.5.10可修复

对于Python 3.6.x系列3.6.12之前版本:

升级Python 3.6.12可修复

对于Python 3.7.x系列3.7.9之前版本:

升级Python 3.7.9可修复

对于Python 3.8.x系列3.8.5之前版本:

升级Python 3.8.5可修复

查看更多漏洞信息 以及升级请访问官网:

https://python-security.readthedocs.io/vulnerabilities.html

  • 相关推荐
  • 大家在看
  • 为什么Java、Python会成为程序员最害怕的编程语言?

    最不受欢迎 / 最令人畏惧的编程语言有哪些?这些编程语言为什么令人畏惧?对它们的评价是否公正?在 StackOverflow 的 2020 年度开发者调查中,有一张表格,显示的是“最受欢迎、最令人畏惧和最想要的编程语言”。最受欢迎的和最想要的编程语言,嗯,是有点无聊。倒是那个最令人畏惧的就有意思多了。正如托尔斯泰(Tolstoy)所说的:“幸福的家庭都是相似的,而不幸的家庭则各有各的不幸。”

  • 高效学风变编程Python,解锁不一样的职场进阶之路

    今年,很多人在问一个问题:到底什么才是抗风险能力?稳定的工作?存款?理财?有人预测:“到2030年,今天一半的工作岗位都将消失。”关于哪些工作最先消失,李开复提出过“五秒钟准则”:一项工作如果可以在5秒钟内作出相应决定,那就非常可能被人工智能取代。AI的发展早已超过我们的想象:气象播报、智能交通、无人酒店、无人超市、无人驾驶...... 人工智能都出色地完成。因此,在风变编程看来,真正的抗风险能力应该是一项不论

  • Python有望超越Java排第二?风变编程解析编程语言新趋势

    随着人工智能时代的来临,编程语言的热度居高不下,随着智能机器人的出现,在2020年更是迎来一波新的高峰。在这样的大环境下,关于谁是人工智能最流行编程语言的讨论也十分热烈,C、C++、Java、Python等编程语言不断被拿出来做比较。那么接下来,风变编程来解析一波当下编程语言的新趋势。Python受欢迎度有望超越Java?近日,TIOBE编程语言社区公布了2020年10月编程语言排行榜。榜单数据显示,Python的受欢迎程度十分逼近排在第二?

  • Linux 5.9.1以及部分旧版稳定内核已解决 "Bleeding Tooth"漏洞问题

    Linux5.9正式发布刚过去一周,修正版本的内核5.9.1就已经跟随而来,让这个稳定版本更值得关注的是包括了本周被Google与英特尔的安全人员公开及警告的"BleedingTooth"蓝牙漏洞的修复。BleedingTooth是一个影响Linux的远程代码执行漏洞,源于L2CAP代码中基于堆的类型混乱。

  • 研究人员担心BleedingTooth蓝牙漏洞给Linux系统带来风险

    基于Linux的操作系统通常被认为比Windows等系统更安全,但这并不意味着它们完全没有安全问题。谷歌安全研究人员已经对Linux蓝牙堆栈中的一系列"零点击"漏洞发出警告。该漏洞被称为BleedingTooth,最坏的后果是带来远程代码执行攻击。

  • widgetsmith详细设置教程 widgetsmith怎么设置

    widgetsmith是iOS14的定制小组件,可以在你的iPhone上定制化一些内容,比如天气等等,很多朋友还不清楚widgetsmith怎么设置,下面就来为大家分享一下widgetsmith的设置教程。

  • ThinkBook怎么样?视觉系创造本ThinkBook 15p魅力来袭

    若要说商务场合选择什么样的笔记本更实用,ThinkBook大概会在可挑选的第一梯队中,作为联想在近年才推出的全新PC品牌,ThinkBook一直以独特创新的品牌理念广为人知,近期,ThinkBook还官宣了新生代偶像王源作为品牌代言人,新品视觉系创造本ThinkBook 15p也吸引了众多职场人士的眼球。ThinkBook怎么样?这就带你一探究竟。ThinkBook怎么样?ThinkBook 15p凝聚创造能量作为专为创造者而生的视觉系创造本ThinkBook 15p,硬件配置就十

  • 再次中断拍摄:Netflix《The Harder They Fall》一演员检测出新冠阳性

    据外媒报道,尽管电视和电影行业在停产和中断数月后正在慢慢恢复工作,但疫情仍在制造问题并带带来延误。最新的例子就是Netflix的原创西部片《TheHarderTheyFall》,在一名演员被检测出COVID-19呈阳性后该片不得不暂停制作。

  • GitHub将于下月起用“main”取代“master”术语

    从下个月开始,GitHub上创建的所有新的源代码仓库都将被命名为 "main"而不是 "master",这代表公司正在努力删除不必要的奴隶制相关的词语,并用更具包容性的术语取代。GitHub仓库是用户和公司存储和同步其源代码项目的地方。

  • ThinkBook怎么样?锐智系创造本强劲性能超凡体验

    通天大道宽又阔,创业青年坚且毅,对于初入职场或自主创业的青年人来说,一台能够满足商务办公需求,性能强大,操作流畅的办公电脑必不可少。锐智系创造本ThinkBook 15,超强性能,灵巧便捷,轻松应对各种办公需求,为青年人商务办公、创新创业带来超凡体验。创造本ThinkBook怎么样?联想为青年创新创业护航联想集团成立于1984年,致力于从事开发、制造及销售最可靠的、安全易用的技术产品。锐智系创造本ThinkBook 15专为青年创业?

  • Twitter确认宕机,但没有证据表明存在网络攻击或安全漏洞

    据外媒报道,日前,许多Twitter用户突然无法访问该服务平台。虽然老Twitter用户还记得这个社交媒体网站的“failwhale(故障的鲸鱼)”经常出现的时候,但现阶段它通常是稳定的,最近一次重大问题则是因7月份的安全漏洞而出现过。

  • 揭秘泰国the royal皇家系列品牌背后的故事

    说到维生素,大家脑海中都会出现几个品牌。其中最受小编钟爱的不过于泰国THE ROYAL皇家VC咀嚼片,这个咀嚼片可以说是THE ROYAL的网红产品了,作为蔬菜和水果中都含有的高活性物质,VC主动参与人体的许多新陈代谢活动,还具有抗氧化、抑制自由基的作用,在帮助人体提高免疫力和抵抗力的同时有助于预防和治疗缺铁性贫血,它的补充对于无论哪个年龄段的人来说都十分必要。泰国THE ROYAL皇家VC咀嚼片一直很多欢迎的原因除了品牌口碑好之外,其?

  • 谷歌和英特尔警告Linux中存在高严重的蓝牙安全漏洞

    谷歌和英特尔警告说,除了最新版本的Linux内核外,其他所有版本的Linux内核都存在高严重性蓝牙漏洞。谷歌的一位研究人员表示,该漏洞允许攻击者在蓝牙范围内无缝执行代码,而英特尔则将该漏洞定性为提供特权升级或信息泄露。

  • 赶紧更新!Firefox漏洞允许攻击者在同一WiFi劫持移动浏览器

    Mozilla已经修复了一个漏洞,攻击者可以使用该漏洞在同一个WiFi网络上劫持所有安卓版火狐浏览器,迫使用户访问恶意网站,比如钓鱼网页。

  • 微软已修复Windows安装过程中的权限提升安全漏洞

    在WindowsSetup中存在一个安全漏洞,即安装操作系统功能更新时的过程中可使得经过本地认证的攻击者有可能利用提升的系统权限运行任意代码。该漏洞(CVE-2020-16908)可被利用来安装软件、创建新用户账户或干扰数据。

  • 双十一红人内容营销,从To-C到With-C

    双十一这天,“一天顶一月”、“一天顶一季”的销量奇迹在不断上演,对大多数品牌来说,是一年中最重要的一次大考。

  • [图]微软发布两个紧急安全更新:修复远程代码执行漏洞

    今天微软发布了两个不定期的例外(Out-of-Band)安全更新,重点修复了WindowsCodecs库和VisualStudioCode应用中的安全问题。这两个例外安全更新是本月补丁星期二活动日之后再发布的,主要修复了两款产品中的“远程代码执行”漏洞,能够让攻击者在受影响的设备上远程执行代码。

  • 美国土安全部发布紧急警告:Windows服务器存在“严重”漏洞

    美国国土安全部网络安全与基础设施安全局(CISA)发布了一项罕见的紧急指令,敦促政府机构为Windows服务器的一个“关键”漏洞安装补丁,该漏洞被安全机构称为Zerologon。

  • 要升级!微软发布Edge浏览器稳定版 修复诸多严重安全漏洞

    作为全球市场份额第二大的浏览器,Edge最近也引起了很多用户的吐槽,主要是微软在Windows 10更新中进行了强制安装,这带来了很不好的体验。现在,微软面向Windows和macOS平台发布了基于Chromi

  • 被美安全部警告后 微软修复Windows严重漏洞:3秒能攻破设备

    也许是漏洞真的是太要命了,微软已经第一时间对其进行了修复,其已经要求客户尽快修复Zerologon漏洞。在 Zerologon 漏洞开始疯狂传播之后,美国国土安全局责令政府网络管理员责令政府网络管理

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签