ニュース

危険なバッファオーバーフロー脆弱性に対処した「Python 3.6.13/3.7.10」が公開

「Python 3.8/3.9」向けのパッチも近日リリースへ。「Python 2」にも影響するがサポート外なので注意

「Python 3.7.10」が公開

 「Python 3.7.10」および「Python 3.6.13」が、2月15日に公開された。以下のセキュリティ問題が解決されている。

  • bpo-42967:DNSキャッシュポイズニングの脆弱性(CVE-2021-23336)
  • bpo-42938:“ctypes.c_double”および“ctypes.c_longdouble”の値の“repr”計算をする際に静的バッファを使用しないように(CVE-2021-3177)
  • bpo-42103:DoS脆弱性。不正なApple Property Listファイルを処理する際に、CPUとメモリが過剰に消費される
  • bpo-42051:「plistlib」モジュールのXML脆弱性への対処
  • bpo-40791:“hmac.compare_digest”のアキュムレータ変数に“volatile”追加

 「Python 3.7」および「Python 3.6」はバグフィックスフェイズを終え、セキュリティ修正フェイズに入っている。このフェイズではセキュリティ関連の修正しか行われないほか、バイナリは用意されず、ソースコードのみの提供となる。「Python 3.7」は2023年半ばまで、「Python 3.6」は今年までサポートが続けられるが、できるだけ早く後継バージョンへの移行を進めたい。

 今回修正された脆弱性のうち、“bpo-42938”(CVE-2021-3177)は“CVSS 3”の基本値で“9.8”(Critical)と深刻度評価されており、警戒が必要。「Python 3.9」や「Python 3.8」のアップデートも間もなくリリースされるものと思われる。

 なお、この問題は「Python 2」にも影響するが、こちらはすでにサポートが終了。開発チームが公式にセキュリティパッチを公開することはないため注意したい。