中危 python python 未加控制的资源消耗(资源穷尽)

CVE编号

CVE-2021-3737

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-03-05
漏洞描述
A flaw was found in python. An improperly handled HTTP response in the HTTP client code of python may allow a remote attacker, who controls the HTTP server, to make the client script enter an infinite loop, consuming CPU time. The highest threat from this vulnerability is to system availability.
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 python python * From
(including)
3.6.0
Up to
(excluding)
3.6.14
运行在以下环境
应用 python python * From
(including)
3.7.0
Up to
(excluding)
3.7.11
运行在以下环境
应用 python python * From
(including)
3.8.0
Up to
(excluding)
3.8.11
运行在以下环境
应用 python python * From
(including)
3.9.0
Up to
(excluding)
3.9.6
运行在以下环境
应用 redhat codeready_linux_builder 8.0 -
运行在以下环境
系统 amazon_2 python * Up to
(excluding)
2.7.18-1.amzn2.0.5
运行在以下环境
系统 amazon_AMI python * Up to
(excluding)
2.7.18-2.142.amzn1
运行在以下环境
系统 centos_8 python3.5 * Up to
(excluding)
3.6.8-45.el8
运行在以下环境
系统 debian_10 python3.5 * Up to
(including)
3.7.3-2+deb10u3
运行在以下环境
系统 debian_11 python3.5 * Up to
(including)
3.9.2-1
运行在以下环境
系统 debian_12 python3.5 * Up to
(including)
3.9.7-2
运行在以下环境
系统 debian_9 python3.5 * Up to
(excluding)
3.5.3-1+deb9u5
运行在以下环境
系统 debian_sid python3.5 * Up to
(including)
3.9.7-2
运行在以下环境
系统 fedora_33 python3.5 * Up to
(excluding)
2.7.18-15.fc33
运行在以下环境
系统 fedora_34 python3.5 * Up to
(excluding)
2.7.18-15.fc34
运行在以下环境
系统 fedora_35 python3.5 * Up to
(excluding)
2.7.18-15.fc35
运行在以下环境
系统 fedora_36 python3.5 * Up to
(excluding)
2.7.18-15.fc36
运行在以下环境
系统 opensuse_Leap_15.2 python3.5 * Up to
(excluding)
2.7.18-lp152.3.21.1
运行在以下环境
系统 opensuse_Leap_15.3 python3.5 * Up to
(excluding)
3.6.15-10.9.1
运行在以下环境
系统 oracle_8 python3.5 * Up to
(excluding)
3.9.6-2.module+el8.5.0+20364+c7fe1181
运行在以下环境
系统 redhat_8 python3.5 * Up to
(excluding)
3.6.8-45.el8
运行在以下环境
系统 suse_12_SP5 python3.5 * Up to
(excluding)
3.6.15-11.1
运行在以下环境
系统 ubuntu_14.04 python3.5 * Up to
(excluding)
3.4.3-1ubuntu1~14.04.7+esm11
运行在以下环境
系统 ubuntu_16.04 python3.5 * Up to
(excluding)
3.5.2-2ubuntu0~16.04.13+esm1
运行在以下环境
系统 ubuntu_18.04 python3.5 * Up to
(excluding)
3.7.5-2ubuntu1~18.04.2
运行在以下环境
系统 ubuntu_20.04 python3.5 * Up to
(excluding)
3.8.10-0ubuntu1~20.04.2
运行在以下环境
系统 ubuntu_21.04 python3.5 * Up to
(excluding)
3.9.5-3ubuntu0~21.04.1
阿里云评分
5.7
  • 攻击路径
    远程
  • 攻击复杂度
    困难
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    服务器失陷
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-400 未加控制的资源消耗(资源穷尽)
CWE-835 不可达退出条件的循环(无限循环)
阿里云安全产品覆盖情况