パスワードを忘れた? アカウント作成
15822233 story
Python

Pythonに4件の脆弱性。修正版のv3.10.8が登場 15

ストーリー by nagazou
修正 部門より
スクリプト言語「Python」のセキュリティアップデートが、10月11日に公開された(Python Insider窓の杜)。「Python 3.10.8」は定例のリリース扱いだが、他のバージョンでもいくつかの修正があったため、v3.10.8、v3.9.15、v3.8.15、v3.7.15の4バージョン同時のリリースとなった。なおタレコミがされた時点ではx64用は公開されていなかったが、現時点では利用可能となっている。今回修正された脆弱性は次の通りとなっている。

あるAnonymous Coward 曰く、

CVE-2022-40674:同梱の「libexpat」ライブラリにヒープ解放後メモリ利用(use-after-free)。「libexpat」v2.4.7からv2.4.9への更新で解決。
gh-97616:「list *= int」で発生する可能性のあるバッファーオーバーフローを修正。
gh-97612:サンプルスクリプト「get-remote-certificate.py」におけるシェルインジェクション(CVE番号が割り当てられていたが撤回)。
gh-96577:「msilib」におけるバッファーオーバーラン。

  • 3.11怖い (スコア:2, 興味深い)

    by Anonymous Coward on 2022年10月14日 16時16分 (#4344066)

    今月10/24にリリース予定の3.11だと、いくつかのモジュールが非推奨になる [python.org]ことが決まっていて、
    その中に cgi モジュールがある。
    これ、大丈夫なん?
    Python を CGI として動作させるために必須だったモジュールだよね。

    特に、cgi.FieldStorage には直接の代替物がない。(自分は使ってる)
    「似たような機能は multipart で実現できるよ」とか言われてもねえ……。
    POST メソッドは、アップロードファイルがあるか否かで multipart/form-data かどうかが切り替わるから、
    片手間の修正では収まらんと思う。

    メンテナがいない&内部が古臭いからって理由らしいけど、cgiモジュールは大分枯れてると思うが……。

    # もっとも、先日 cgi.parse の不具合を見つけた。
    # 既に誰かが報告済みだったけど、間もなく非推奨になるから直すつもりがないらしい。

    ここに返信
  • by Anonymous Coward on 2022年10月14日 15時40分 (#4344044)

    日本語読みに脆弱性を感じる!

    ここに返信
  • by Anonymous Coward on 2022年10月14日 15時48分 (#4344047)

    比較的記述が少なく済むだけでC化しなきゃめっちゃ遅いし
    数年前からあるバグすら放置されてるし
    やっぱ開発が簡単になったからといって出来上がったもののクオリティが高くなるわけではないんやなって

    ここに返信
    • by Anonymous Coward

      いいえ毒持ちです

    • by Anonymous Coward

      クソ呼ばわりにしちゃ理由が弱いなw

      • by Anonymous Coward

        めっちゃ遅い

        これは大問題ですが……
        そういうの気にしないタイプ?底辺のITドカタなら適当でもどうにかなるのかな

        // そしてCよりもRustの方が速いという悲しみ

        • by Anonymous Coward

          道具の使い方も分からないのに自分は底辺じゃないと思っているんだな。

        • by Anonymous Coward

          nukitaだったかなんかではやくなるし…

        • by Anonymous Coward

          Pythonはグルー言語でしょ? 単体の速度より使い勝手の方が重要だし、だからこそ速度が重要な機械学習の分野でも広く使われている。

    • by Anonymous Coward

      目的次第。 「記述が少なく済む」だけで十分なことはいくらでもある

    • by Anonymous Coward

      だってPythonはCとかC++みたいな言語で作ってあるもん

    • by Anonymous Coward

      googleに言語仕様にも手を入れてもらえばよかったのに

      • by Anonymous Coward

        Goとかいう名前から仕様からイマイチな言語をドヤ顔で発表しているGoogleに手を入れられたら
        マジモンのクソになってしまうでしょ!

    • by Anonymous Coward

      それであなたがよいと思う言語は何?
      シェルスクリプトはPythonに輪をかけて遅いから、全部CとかRustとかで
      書き直すべきなの?

      目的のために適切な道具を選べないあなたが一番のクソであることは
      疑いないだろうけど。

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...