Python‘ZipExtFile._read2()’方法拒绝服务漏洞

基本信息

漏洞ID：1164224
漏洞类型：输入验证错误
发布日期：2014-01-28
更新时间：2015-11-03
CVE编号： CVE-2013-7338
CNNVD-ID：CNNVD-201401-570
漏洞平台： N/A
CVSS评分：7.1

漏洞来源

<a href="https://www.securityfocus.com/bid/65179" target="_blank">https://www.securityfocus.com/bid/65179</a><br/> <a href="http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201401-570" target="_blank">http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201401-570</a><br/>

漏洞详情

Python是Python软件基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。 Python 3.3.4 RC1及之前的版本的Lib/zipfile.py文件的‘ZipExtFile._read2’函数中存在安全漏洞。远程攻击者可借助特制的ZIP_STORED或ZIP_DEFLATED文件利用该漏洞造成拒绝服务（无限循环和CPU消耗）。

参考资料

来源:MLIST
名称:[oss-security]20140319Re:CVErequestforpython/zipfile
链接:http://seclists.org/oss-sec/2014/q1/595
来源:SECTRACK
名称:1029973
链接:http://www.securitytracker.com/id/1029973
来源:hg.python.org
链接:http://hg.python.org/cpython/rev/79ea4ce431b1
来源:bugs.python.org
链接:http://bugs.python.org/issue20078
来源:docs.python.org
链接:https://docs.python.org/3.3/whatsnew/changelog.html
来源:MLIST
名称:[oss-security]20140318CVErequestforpython/zipfile
链接:http://seclists.org/oss-sec/2014/q1/592
来源:BID
名称:65179
链接:http://www.securityfocus.com/bid/65179