发布日期：2024-12-06
更新日期：2025-02-17

受影响系统：

Python python >= 3.12.0

描述：

---

CVE(CAN) ID: CVE-2024-12254

Python是Python基金会的一套开源的、面向对象的程序设计语言，该语言具有可扩展、支持模块和包、支持多种平台等特点。
Python 3.12.0及之后版本存在不受限资源分配漏洞，该漏洞源于asyncio._SelectorSocketTransport.writelines方法不会在写入缓冲区达到high-water mark时暂停写入,也不会通知Protocol排空缓冲区，攻击者可利用该漏洞导致内存耗尽。

<**>

建议：

---

厂商补丁：

Python
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/python/cpython/commit/71e8429ac8e2adc10084ab5ec29a62f4b6671a82

浏览次数：123
严重程度：0（网友投票）