Python CGIHTTPServer “is_cgi()”安全限制绕过漏洞
Python CGIHTTPServer “is_cgi()”安全限制绕过漏洞
发布日期:2014-03-10
更新日期:2014-07-02
受影响系统:
Python python 3.x
Python python 2.7.x
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2014-4650
Python是一种面向对象、直译式计算机程序设计语言。CGIHTTPServer模块可被用来设置简单的HTTP服务器。
Python 2.7.3版本处理"is_cgi()"函数(Lib/CGIHTTPServer.py)内的URL编码路径时出现错误,导致攻击者可以通过目录遍历序列泄露任意CGI脚本的源代码并执行任意python脚本。
<*来源:RedTeam Pentesting GmbH (http://www.redteam-pentesting.de/)
链接:http://secunia.com/advisories/59091/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Python
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Python:
http://bugs.python.org/issue21766
RedTeam Pentesting GmbH:
https://www.redteam-pentesting.de/en/advisories/rt-sa-2014-008/-python-cgihttpserver-file-disclosure-and-potential-code-execution
《Python核心编程 第二版》.(Wesley J. Chun ).[高清PDF中文版]
《Python开发技术详解》.( 周伟,宗杰).[高清PDF扫描版+随书视频+代码]
Python脚本获取Linux系统信息
在Ubuntu下用Python搭建桌面算法交易研究环境
Python 的详细介绍:请点这里
Python 的下载地址:请点这里
本文永久更新链接地址:
评论暂时关闭