Python和simplejson _json模块信息泄露漏洞

漏洞信息详情

Python和simplejson _json模块信息泄露漏洞

• CNNVD编号：CNNVD-201406-662
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-4616
  
• 漏洞类型：
  
  
  缓冲区溢出
  
• 发布时间：
  
  2014-06-20
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2017-08-25
  
• 厂        商：
  
  python
• 漏洞来源：
  Guido Vranken

Python是Python软件基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。simplejson是一个可扩展的JSON解码/编码器。_json module是其中的一个数据交换模块。

Python 2.7版本至3.5版本和simplejson 2.6.1之前的版本中的_json模块的‘scanstring’函数存在安全漏洞。本地攻击者可通过向‘raw_decode’函数发送带有负的指针值的‘idx’参数利用该漏洞读取任意的进程内存。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

http://bugs.python.org/issue21529

来源:BID

链接:http://www.securityfocus.com/bid/68119

来源:CONFIRM

链接:http://bugs.python.org/issue21529

来源:SUSE

链接:http://lists.opensuse.org/opensuse-updates/2014-07/msg00015.html

来源:MLIST

链接:http://openwall.com/lists/oss-security/2014/06/24/7

来源:MISC

链接:https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=752395

来源:CONFIRM

链接:https://bugzilla.redhat.com/show_bug.cgi?id=1112285

来源:MISC

链接:https://hackerone.com/reports/12297