•   
  •   

Culture Le langage de programmation Python dépêche la mise à jour pour s'attaquer à la vulnérabilité du code à distance

13:18  23 février  2021
13:18  23 février  2021 Source:   zdnet.com

Le langage de programmation Python dépêche la mise à jour pour s'attaquer à la vulnérabilité du code à distance

 Le langage de programmation Python dépêche la mise à jour pour s'attaquer à la vulnérabilité du code à distance La Python Software Foundation (PSF) a précipité Python 3.9.2 et 3.8.8 pour corriger deux failles de sécurité notables, dont une qui est exploitable à distance mais qui peut en pratique être utilisé uniquement pour mettre hors ligne une machine. © Getty Images / iStockphoto Developer utilisant un ordinateur portable et ayant l'air inquiet Developer Langages de programmation: Ce vieux favori est à nouveau en tête des classements Developer jobs: Google's Go, Redux.js, Google Cloud et AWS la plupar

La Python Software Foundation (PSF) a précipité Python 3.9.2 et 3.8.8 pour corriger deux failles de sécurité notables, dont une exploitable à être utilisé uniquement pour mettre hors ligne une machine.

a man using a laptop computer: Developer using laptop and looking worried © Getty Images / iStockphoto

Developer utilisant un ordinateur portable et ayant l'air inquiet

Developer Langages de programmation: Ce vieux favori est à nouveau en tête des classements Developer jobs: Google's Go, Redux.js, Google Cloud, and AWS skills will get you the la plupart des interviews Qu'est-ce que le low-code et le no-code? Un guide des plates-formes de développement Meilleur hébergement Web: Trouvez le bon service pour votre site Le meilleur hébergement Web bon marché: Trouvez un service abordable adapté à votre budget Développement de logiciels agiles dans l'aérospatiale (ZDNet YouTube)

PSF exhorte sa légion d'utilisateurs Python vers les systèmes de mise à niveau vers Python 3.8.8 ou 3.9.2 , en particulier pour remédier à la vulnérabilité d'exécution de code à distance (RCE) qui est suivie comme CVE-2021-3177.

Possum aperçoit un serpent caché sur une véranda - alors pouvez-vous repérer le serpent?

 Possum aperçoit un serpent caché sur une véranda - alors pouvez-vous repérer le serpent? © Fourni par Daily Mail Logo MailOnline Un opossum a très probablement eu la peur de sa vie après avoir repéré un serpent camouflé prêt à bondir à quelques mètres sur la véranda avant d'une famille. Snake Catchers Brisbane et Gold Coast ont téléchargé l'image sur sa page Facebook , après que le personnel ait été récemment appelé dans une maison à Sherwood, au sud-ouest du CBD de Brisbane.

Le projet a accéléré la publication après avoir reçu une pression inattendue de la part de certains utilisateurs préoccupés par la faille de sécurité.

SEE: Kit de recrutement : développeur Python (TechRepublic Premium)

"Depuis l'annonce des versions candidates pour la version 3.9.2 sur 3.8.8, nous avons reçu un certain nombre de demandes d'utilisateurs finaux nous exhortant à accélérer les versions finales en raison de le contenu de sécurité, en particulier CVE-2021-3177 », a déclaré l'équipe de publication de Python.

"Cela nous a quelque peu surpris car nous pensons que le contenu de sécurité est sélectionné par les distributeurs en aval à partir de la source de toute façon, et les versions RC fournissent des installateurs pour tous ceux qui sont intéressés par une mise à niveau entre-temps", a déclaré PSF.

Serpents massifs «en liberté» dans une petite ville Les résidents inquiets

 Serpents massifs «en liberté» dans une petite ville Les résidents inquiets Après avoir signalé des serpents géants en liberté, un énorme python birman a été capturé en train de se glisser autour de Greenock, en Écosse. Bien que celui-ci soit sorti de la rue, il semble qu'il y en ait beaucoup plus à craindre. © Barry King / WireImage / Getty Albino Burmese Python au Laguna's Festival of Arts à Laguna Beach, Californie le 26 juillet 2003, pour l'événement spécial "Walk on the Wild Side".

"Il s'avère que les versions candidates sont pour la plupart invisibles pour la communauté et dans de nombreux cas ne peuvent pas être utilisées en raison des processus de mise à niveau mis en place par les utilisateurs.

Python 3.x à 3.9.1 a un débordement de tampon dans PyCArg_repr dans ctypes / callproc.c, ce qui peut conduire à l'exécution de code à distance.

Cela affecte les applications Python qui "acceptent les nombres à virgule flottante comme entrées non fiables, comme le montre un argument 1e300 à c_double.from_param."

Le bogue se produit car "sprintf" est utilisé de manière non sécurisée. L'impact est large car Python est pré-installé avec plusieurs distributions Linux et Windows 10.

Diverses distributions Linux, comme Debian , ont rétroporté les correctifs de sécurité pour s'assurer que les versions intégrées de Python sont protégées.

La vulnérabilité est une faille mémoire courante. Per RedHat , un débordement de tampon basé sur la pile dans le module ctypes de Python a incorrectement validé l'entrée qui lui était transmise, "ce qui permettrait à un attaquant de déborder un tampon sur la pile et de planter l'application."

Vous pouvez maintenant exécuter Unix sur le petit Raspberry Pi Pico

 Vous pouvez maintenant exécuter Unix sur le petit Raspberry Pi Pico à 4 $ Les développeurs qui possèdent l'un des derniers gadgets de Raspberry Pi, le Pi Pico, ont un système d'exploitation potentiel nouvellement porté appelé Fuzix, un système d'exploitation de type Unix pour les petites choses. . "Vous pouvez donc maintenant exécuter Unix sur un microcontrôleur à 4 $", a déclaré Raspberry Pi dans son article de blog sur le projet.

SEE: Developer: le langage de programmation Rust est utilisé pour des projets plus importants

Alors qu'une vulnérabilité d'exécution de code à distance est une mauvaise nouvelle, RedHat note que «la plus grande menace de cette vulnérabilité est la disponibilité du système». En d'autres termes, un attaquant ne pourrait probablement réussir qu'une attaque par déni de service.

"Nous croyons comprendre que bien que le CVE soit répertorié comme" exécution de code à distance ", les exploits pratiques de cette vulnérabilité en tant que tels sont très peu probables en raison des conditions suivantes devant être remplies pour un RCE réussi", a déclaré le PSF.

"Certes, le déni de service via des entrées malveillantes est également un problème sérieux. Ainsi, pour aider les membres de la communauté pour lesquels la release candidate était insuffisante, nous publions aujourd'hui les versions finales de 3.9.2 et 3.8.8" l'organisation a ajouté.

L'autre faille est suivie comme CVE-2021-23336 et concerne une vulnérabilité d'empoisonnement du cache Web en "définissant par défaut le séparateur d'arguments de requête sur &, et en permettant à l'utilisateur de choisir un séparateur personnalisé."

Open Source Linux et les travaux open-source sont plus chauds que jamais Red Hat optimise RHEL et OpenShift pour la vie en périphérie de l'informatique Microsoft Defender pour Linux ajoute une nouvelle fonctionnalité de sécurité YouTube) Les cinq principales distributions de serveurs Linux open source (TechRepublic)

The Beatles: Paul McCartney et John Lennon estate célèbrent l'anniversaire de George Harrison .
Votre navigateur ne supporte pas cette vidéo George Harrison est malheureusement décédé il y a près de 20 ans et aurait eu 78 ans cette semaine s'il était encore en vie. Néanmoins, son incroyable héritage avec les Beatles se perpétue à ce jour. Et maintenant, Sir Paul McCartney et le domaine John Lennon ont célébré ce qui aurait été le 78e anniversaire de George Harrison le 25 février 2021. Sir Paul a partagé une photo de lui avec George dans ce qui ressemble à la fin des années 1960.

usr: 1
C'est intéressant!