阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
搜索
NVD
操作系统
CVE-2024-0450
中危
引用 zip 文件的 zip 炸弹保护 (CVE-2024-0450)
CVE编号
CVE-2024-0450
利用情况
暂无
补丁情况
官方补丁
披露时间
2024-03-20
漏洞描述
发现了一个影响版本3.12.2、3.11.8、3.10.13、3.9.18和3.8.18及之前版本的CPython 'zipfile'模块漏洞。zipfile模块容易受到“quoted-overlap” zip-bombs的攻击,利用zip格式创建具有高压缩比的zip-bomb。修复版本的CPython使zipfile模块拒绝在存档中重叠条目的zip存档。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
http://www.openwall.com/lists/oss-security/2024/03/20/5
https://github.com/python/cpython/commit/30fe5d853b56138dbec62432d370a1f99409fc85
https://github.com/python/cpython/commit/66363b9a7b9fe7c99eba3a185b74c5fdbf842eba
https://github.com/python/cpython/commit/70497218351ba44bffc8b571201ecb5652d84675
https://github.com/python/cpython/commit/a2c59992e9e8d35baba9695eb186ad6c6ff85c51
https://github.com/python/cpython/commit/a956e510f6336d5ae111ba429a61c3ade30a7549
https://github.com/python/cpython/commit/d05bac0b74153beb541b88b4fca33bf053990183
https://github.com/python/cpython/commit/fa181fcf2156f703347b03a3b1966ce47be8ab3b
https://github.com/python/cpython/issues/109858
https://lists.debian.org/debian-lts-announce/2024/03/msg00024.html
https://lists.debian.org/debian-lts-announce/2024/03/msg00025.html
https://mail.python.org/archives/list/security-announce@python.org/thread/XEL...
https://www.bamsoftware.com/hacks/zipbomb/
受影响软件情况
#
类型
厂商
产品
版本
影响面
1
运行在以下环境
系统
alpine_3.16
python3
*
Up to
(excluding)
3.10.14-r0
运行在以下环境
系统
alpine_3.17
python3
*
Up to
(excluding)
3.10.14-r0
阿里云评分
5.8
攻击路径
本地
攻击复杂度
困难
权限要求
普通权限
影响范围
有限影响
EXP成熟度
未验证
补丁情况
官方补丁
数据保密性
无影响
数据完整性
无影响
服务器危害
无影响
全网数量
N/A
CWE-ID
漏洞类型
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
RASP
Exp相关链接
×