「Python」にバッファオーバーフローの脆弱性 ～サポート終了の「Python 2」にも影響

ActiveStateのブログ記事

　「ActivePerl」などの製品で知られる加ActiveStateは2月5日（現地時間）、「Python」の脆弱性（CVE-2021-3177）について注意を喚起した。すでにサポートの終了した「Python 2」にも影響があるという。

　“CVE-2021-3177”はバッファオーバーフローの脆弱性で、「Python 3.x」および「Python 2.7」に影響する。文字列を整形する処理など、外部から入力された浮動小数点データを検証せずに利用している「Python」アプリケーションでリモートからサービス拒否（DoS）を引き起されたり、任意のコードが実行されてしまう可能性がある。

　この脆弱性に対応したパッチはまだリリースされていないが、いずれPython Software Foundationから「Python 3.6.13」、「Python 3.7.10」、「Python 3.8.8」がリリースされる見込み。しかし、「Python 2」はサポートが終了しているため、パッチが提供されることはない。

　ActiveStateは独自に有償の拡張サポートを提供しており、「Python 2.7.18.1」に対する修正を検討中。必要に応じてパッチをリリースするとしている。