The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Python 3.8.5 с устранением уязвимостей

21.07.2020 13:00

Опубликовано корректирующее обновление языка программирования Python 3.8.5, в котором устранено несколько уязвимостей:

  • CVE-2019-20907 - зацикливание модуля tarfile при попытке открытия специально оформленных файлов в формате tar.
  • BPO-41288 - крах при попытке обработки модулем Pickle объектов со специально оформленным опкодом NEWOBJ_EX.
  • CVE-2020-15801 - возможность подстановки HTTP-заголовков в запрос через использование символов перевода строки в параметре "method" модуля http.client. Например: conn.request(method="GET / HTTP/1.1\r\nHost: abc\r\nRemainder:", url="/index.html"). Уязвимость была устранена ранее, но не охватывала защиту метода http.client.putrequest.


  1. Главная ссылка к новости (https://www.mail-archive.com/p...)
  2. OpenNews: Гвидо ван Россум предложил включить в Python операторы для сопоставления с образцом
  3. OpenNews: Проект Python намерен перевести отслеживание ошибок на GitHub
  4. OpenNews: Опубликован Python 2.7.18, последний выпуск ветки Python 2
  5. OpenNews: Ценой перевода Mercurial на Python 3 может стать шлейф непредвиденных ошибок
  6. OpenNews: Выпуск языка программирования Python 3.8
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/53405-python
Ключевые слова: python
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (34) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, YetAnotherOnanym (ok), 13:30, 21/07/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –5 +/
     
  • 1.5, Аноним (-), 15:35, 21/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ждем выхода Python4, и ждем когда Python3 объявят устаревшим.
     
     
  • 2.6, пихтораст (?), 18:23, 21/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это вы губы-то не раскатывайте раньше времени - сначала на версию 3.9 свой код перепишете, мы ж не будем не сломать совместимость - просто потому что можем!

    А потом, конечно же, объявим устаревшим - будете переписывать на 4.

     
     
  • 3.7, Аноним (7), 19:27, 21/07/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вообще-то там по-моему лет 15 так не ломали совместимость, во втором питоне её ломали чаще. Новые "ключевые слова" не рассматриваем, нечего было выбирать такие названия. И то это было примерно 1 раз. Так что всё наговоры завистников.
     
     
  • 4.23, Аноним (23), 09:44, 22/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Вообще-то там по-моему лет 15 так не ломали совместимость

    Ломали https://www.python.org/dev/peps/pep-0479/

     

  • 1.8, Аноним (8), 21:50, 21/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Посоветуйте нормальную DE для питона, где можно дебажить, автодополнение и подсветка.
     
     
  • 2.10, Гвидо (?), 22:56, 21/07/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    PyСharm без вариантов
     
  • 2.15, Повидло19 (?), 00:55, 22/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Vim. Даже орфографию проверяет в комментах и строках.
     
     
  • 3.33, Аноним (33), 13:25, 23/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Просили же IDE и нормальную.
     
  • 2.17, Доброжелатель (??), 01:44, 22/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://thonny.org/
    https://eric-ide.python-projects.org/index.html
     
  • 2.31, Аноним (31), 05:30, 23/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Eclipse с модулем PyDev
     

  • 1.9, Аноним (9), 21:55, 21/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    >крах при попытке обработки модулем Pickle объектов со специально оформленным опкодом NEWOBJ_EX.

    pickle - это вообще RCE, ничто не мешает в замаринованном вооще хоть бесконечный цикл вызвать или пожиратель памяти или удалятель всех файлов в хомяке.

    За использование pickle для хранения моделей, как любят в nltk, или таблиц инфой о символах PDF, как любят в pdfminer(-six), нужно увольнять с волчьим билетом. Тех макак, кто додумался вкорячить pickle в стандартную библиотеку - тоже.

     
     
  • 2.11, foo (?), 23:28, 21/07/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вообще нет при правильном использовании.
     
     
  • 3.27, Аноним (9), 21:30, 22/07/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Где ты видел правильное использование у макак (в случае питона - у бандерлогов)?
     

  • 1.12, Повидло19 (?), 23:48, 21/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В 2.7 такого нету.
     
     
  • 2.24, Страшный Аноним (?), 11:31, 22/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Разморозили?
     
  • 2.28, . (?), 23:17, 22/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ну да, а обновление приехавшее сегодня - оно ж так, ниочем.

    https://launchpad.net/ubuntu/+source/python2.7/2.7.17-1~18.04ubuntu1.1 (заметим, кстати, что от мифического "отсутствия поддержки" мир нифига не рухнул, один-единственный майнтейнер вполне справляется с трехстрочными суперпатчами)

    правда, наиболее занятное - c http.client - не устранено (и в третьих версиях тоже)

     

  • 1.13, ann (??), 23:52, 21/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Потому что нужен PyRust
     
     
  • 2.14, анонимуслинус (?), 00:45, 22/07/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    забыли добавить "Da" между буквами "y" и "R".))) и так за последние годы накорячили столько всего, что стройные и понятные языки стали как лабиринт с подкинутыми минами. вот почему не сделать язык строгий и понятный, ну хотя бы как Си. как накостыляют дополнений , переводов кода в байт код, потом в какой нибудь другой код , потом 100500 перекомпиляций, чтоб понять что все криво долго и жрет память, да и чаще всего при переводах в другие языки и выходы разные.  
     
     
  • 3.18, Аноним (18), 02:37, 22/07/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так ведь уже есть ассемблер? Строгий, понятный, и без переводов в байт код. Зачем вам что-то ещё?
     
     
  • 4.30, анонимуслинус (?), 00:13, 23/07/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    верною дорогою идешь товарищ))) но большинству будет слишком жестко и мозга заклинит, а что то типа си с ООП( ведь все в него уже больше десяти лет бьются и ниче мозги все хуже и хуже, а все равно бьются). погодь есть же с++. но блин его так изуродовали, что аж страшно.есть что там, раст? но блин при работе с системными вещами он превращается в тот же с++ только упоротее. подскажите не упоротый и нормальный язык чтоб и системщину и все остальное. питон и прочие не предлагать они удобны для маленьких скриптов обвязок и все, нельзя их никуда больше. вот почему народ взялся за все это, а были же норм системы и программы где все полностью скомпилено и скрипты играли лишь маленькую вспомогательную роль.(про инит не вспоминайте)
     
     
  • 5.34, Аноним (7), 15:09, 23/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как можно уметь си и не уметь ассемблер?
     
  • 3.20, Аноним (7), 06:03, 22/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты знаешь, как работает компилятор си?
     
  • 3.21, лютый жабби__ (?), 06:30, 22/07/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >вот почему не сделать язык строгий и понятный, ну хотя бы как Си

    анси си язык для фофанов... чтобы на нем миллиарды мартышек-лоулайфов ночами напролёт писали и переписывали всё то, что уже 100500 раз писалось и переписывлось до них.

    в нормальных промышленных языках (как java например) никто не тратит деньги работодателя на написание сборщика мусора, обработку строк, конвертирование JSON в объект и обратно и тд и тп

     
     
  • 4.22, Аноним (22), 09:18, 22/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В ANSI C тоже на это никто не тратит время, там это давно всё есть (GC не нужон)
     
  • 4.25, Страшный Аноним (?), 11:34, 22/07/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Правильно, если в Java и Rust сказали "люминий", значит "люминий", если сказали, что круглое носим, а квадратное катаем, значит так и делаем и голову не подключаем, а зачем - "в языке уже фсё придумано за нас"?
     
  • 4.26, Анононим (?), 20:21, 22/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это там где два васяна продакшен?
     
  • 4.29, . (?), 23:25, 22/07/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > в нормальных промышленных языках (как java например) никто не тратит деньги работодателя на
    > написание сборщика мусора, обработку строк, конвертирование JSON в объект и обратно и тд и тп

    угу, их тратят другие люди, на сборку обломков потом, когда жрущее гигабайты чудовище ВНЕЗАПНО начинает жрать еще и cpu - все 60 ядер. До перезагрузки ресетом, поскольку на внешние воздействия уже не откликается.

    А на вопрос супержабисту - "КАКОГО ХРЕНА!?" - тот отвечает - "ну вот тут (пятнадцатого уровня вложенности конфиг с нескучным синтаксисом) по умолчанию недостаточно цифирок после -Xmx - поэтому памяти в системе дофига, но "нормальный промышленный язычок" не может ее использовать - а когда ему памяти не хватает - он вызывает глобальнй GC. Теперь помимо нехватки памяти у тебя еще и сожран весь процессор - загадочных ключиков для ограничения еще и этой деятельности почему-то не предусмотрели - наверное, потому что когда этот промышленный мусор писали - процессоров в большинстве компьютеров было по одному"

    Кстати, на вопрос "да сколько ж твоей твари надо туда написать чтоб она перестала так делать, и как вообще это узнать не постфактум" - супержабист ответить почему-то не сподобился.

     
  • 2.19, Аноним (19), 02:58, 22/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Cython уже есть.
     
  • 2.36, Аноним (36), 09:31, 24/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/RustPython/RustPython
     

  • 1.16, Аноним (16), 01:40, 22/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В будущих версиях переменные и названия master/slave будут автоматически переименовываться согласно рекомендациям, которые будут скачиваться с сайта ...

    рандомные классы и функции. никаких проблем....

     
     
  • 2.32, Карабьян (?), 11:27, 23/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И вообще пусть везде будет код открытый, но никому не понятный
     
     
  • 3.35, anonymous (??), 18:05, 23/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это ВАМ уже в сторону PERL нужно.
     

  • 1.37, Аноним (37), 13:52, 26/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Когда уже сделают основной цикл на libuv?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру