Pythonに4件の脆弱性。修正版のv3.10.8が登場 15
ストーリー by nagazou
修正 部門より
修正 部門より
スクリプト言語「Python」のセキュリティアップデートが、10月11日に公開された(Python Insider、窓の杜)。「Python 3.10.8」は定例のリリース扱いだが、他のバージョンでもいくつかの修正があったため、v3.10.8、v3.9.15、v3.8.15、v3.7.15の4バージョン同時のリリースとなった。なおタレコミがされた時点ではx64用は公開されていなかったが、現時点では利用可能となっている。今回修正された脆弱性は次の通りとなっている。
あるAnonymous Coward 曰く、
あるAnonymous Coward 曰く、
CVE-2022-40674:同梱の「libexpat」ライブラリにヒープ解放後メモリ利用(use-after-free)。「libexpat」v2.4.7からv2.4.9への更新で解決。
gh-97616:「list *= int」で発生する可能性のあるバッファーオーバーフローを修正。
gh-97612:サンプルスクリプト「get-remote-certificate.py」におけるシェルインジェクション(CVE番号が割り当てられていたが撤回)。
gh-96577:「msilib」におけるバッファーオーバーラン。
3.11怖い (スコア:2, 興味深い)
今月10/24にリリース予定の3.11だと、いくつかのモジュールが非推奨になる [python.org]ことが決まっていて、
その中に cgi モジュールがある。
これ、大丈夫なん?
Python を CGI として動作させるために必須だったモジュールだよね。
特に、cgi.FieldStorage には直接の代替物がない。(自分は使ってる)
「似たような機能は multipart で実現できるよ」とか言われてもねえ……。
POST メソッドは、アップロードファイルがあるか否かで multipart/form-data かどうかが切り替わるから、
片手間の修正では収まらんと思う。
メンテナがいない&内部が古臭いからって理由らしいけど、cgiモジュールは大分枯れてると思うが……。
# もっとも、先日 cgi.parse の不具合を見つけた。
# 既に誰かが報告済みだったけど、間もなく非推奨になるから直すつもりがないらしい。
個人的には (スコア:0)
日本語読みに脆弱性を感じる!
この言語本当クソだよね (スコア:0)
比較的記述が少なく済むだけでC化しなきゃめっちゃ遅いし
数年前からあるバグすら放置されてるし
やっぱ開発が簡単になったからといって出来上がったもののクオリティが高くなるわけではないんやなって
Re: (スコア:0)
いいえ毒持ちです
Re: (スコア:0)
クソ呼ばわりにしちゃ理由が弱いなw
Re: (スコア:0)
めっちゃ遅い
これは大問題ですが……
そういうの気にしないタイプ?底辺のITドカタなら適当でもどうにかなるのかな
// そしてCよりもRustの方が速いという悲しみ
Re: (スコア:0)
道具の使い方も分からないのに自分は底辺じゃないと思っているんだな。
Re: (スコア:0)
nukitaだったかなんかではやくなるし…
Re: (スコア:0)
Pythonはグルー言語でしょ? 単体の速度より使い勝手の方が重要だし、だからこそ速度が重要な機械学習の分野でも広く使われている。
Re: (スコア:0)
目的次第。 「記述が少なく済む」だけで十分なことはいくらでもある
Re: (スコア:0)
だってPythonはCとかC++みたいな言語で作ってあるもん
Re: (スコア:0)
googleに言語仕様にも手を入れてもらえばよかったのに
Re: (スコア:0)
Goとかいう名前から仕様からイマイチな言語をドヤ顔で発表しているGoogleに手を入れられたら
マジモンのクソになってしまうでしょ!
Re: (スコア:0)
それであなたがよいと思う言語は何?
シェルスクリプトはPythonに輪をかけて遅いから、全部CとかRustとかで
書き直すべきなの?
目的のために適切な道具を選べないあなたが一番のクソであることは
疑いないだろうけど。