Python tarfile模块漏洞可致恶意压缩包引发拒绝服务攻击
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
Python标准库tarfile模块在3.14.0以下版本存在CVE-2025-8194高危漏洞,该漏洞可能导致处理恶意压缩包时进入无限循环,从而引发拒绝服务攻击。官方已在3.14.0版本中发布补丁,用户可通过运行时修补模块进行临时防护。
🎯
关键要点
-
Python标准库tarfile模块存在CVE-2025-8194高危漏洞,CVSS评分为7.5。
-
该漏洞导致处理恶意压缩包时进入无限循环,可能引发拒绝服务(DoS)攻击。
-
所有低于3.14.0版本的Python均受此漏洞影响。
-
漏洞源于tarfile模块的解压和条目枚举API,未验证负偏移量的合法性。
-
攻击者可通过构造含有异常元数据的tar文件实施攻击,导致资源耗尽和系统无响应。
-
官方已在Python 3.14.0版本中发布补丁,用户可通过运行时修补模块实现临时防护。
-
临时防护方案通过检查偏移量,若为负值则抛出异常,有效阻断恶意载荷。
❓
延伸问答
CVE-2025-8194漏洞的影响是什么?
该漏洞可能导致处理恶意压缩包时进入无限循环,从而引发拒绝服务攻击。
哪些Python版本受到CVE-2025-8194漏洞的影响?
所有低于3.14.0版本的Python均受此漏洞影响。
如何临时防护CVE-2025-8194漏洞?
用户可通过运行时修补模块来实现临时防护,检查偏移量若为负值则抛出异常。
CVE-2025-8194漏洞的根本原因是什么?
漏洞源于tarfile模块的解压和条目枚举API,未验证负偏移量的合法性。
攻击者如何利用CVE-2025-8194漏洞?
攻击者可通过构造含有异常元数据的tar文件实施攻击,导致资源耗尽和系统无响应。
Python官方对CVE-2025-8194漏洞的响应是什么?
官方已在Python 3.14.0版本中发布补丁以修复该漏洞。
➡️
