Python 资源管理错误漏洞

CNNVD-ID编号	CNNVD-202002-041
CVE编号	CVE-2019-9674
发布时间	2020-02-04
更新时间	2020-07-28
漏洞类型	资源管理错误
漏洞来源	N/A
危险等级	高危
威胁类型	远程
厂商	N/A

漏洞介绍

Python是Python软件基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。

Python 3.7.2版本中的Lib/zipfile.py文件存在资源管理错误漏洞。远程攻击者可借助ZIP炸弹利用该漏洞导致拒绝服务（资源消耗）。

漏洞补丁

目前厂商已发布升级了Python 资源管理错误漏洞的补丁，Python 资源管理错误漏洞的补丁获取链接：

https://bugs.python.org/issue36462

https://bugs.python.org/issue36260

参考网址

来源:python-security.readthedocs.io

链接：https://python-security.readthedocs.io/security.html#archives-and-zip-bomb
来源:MISC

链接：https://www.python.org/news/security/
来源:github.com

链接：https://github.com/python/cpython/blob/master/Lib/zipfile.py
来源:SUSE

链接：http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00003.html
来源:UBUNTU

链接：https://usn.ubuntu.com/4428-1/
来源:bugs.python.org

链接：https://bugs.python.org/issue36260
来源:bugs.python.org

链接：https://bugs.python.org/issue36462
来源:CONFIRM

链接：https://security.netapp.com/advisory/ntap-20200221-0003/
来源:SUSE

链接：http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00041.html
来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/ESB-2020.2511/
来源:nvd.nist.gov

链接：https://nvd.nist.gov/vuln/detail/CVE-2019-9674
来源:vigilance.fr

链接：https://vigilance.fr/vulnerability/Python-overload-via-Lib-zipfile-py-31676
来源:packetstormsecurity.com

链接：https://packetstormsecurity.com/files/158524/Ubuntu-Security-Notice-USN-4428-1.html
来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/ESB-2020.0714/
来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/ESB-2020.1822/
来源:access.redhat.com

链接：https://access.redhat.com/security/cve/cve-2019-9674
来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/ESB-2020.1196/
来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/ESB-2020.0675/

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202002-041