本条漏洞已经在0.12.3本子中期维修复(

以此漏洞(CVE-2018-1000656)二十八日前(十一月20号)被揭露在NVD(National
Vulnerability Database,国家漏洞数据库)上,漏洞描述如下:

The Pallets Project flask version Before 0.12.3 contains a CWE-20:
Improper Input Validation vulnerability in flask that can result in
Large amount of memory usage possibly leading to denial of service.
This attack appear to be exploitable via Attacker provides JSON data
in incorrect encoding. This vulnerability appears to have been fixed
in 0.12.3.

大约的翻译如下:

Pallets项目组开垦的Flask
0.12.3及以下版本包罗CWE-20类型的疏漏:不合适的输入验证漏洞。这一个漏洞将会促成大量内部存款和储蓄器占用,大概会产生拒绝服务。攻击者可以因而提供使用了错误编码的JSON数据来实行抨击。这个漏洞已经在0.12.3本子中期维修复(#2691)。

应对艺术

对此这么些漏洞,你能够通过提高来张开防守。如若您准备采取最新版本(Flask
1.0.2),能够使用上边的指令更新(参见那篇小说刺探Flask
1.0版本包括哪些重大变化):

$ pip install -U flask

只要你选取Pipenv,则能够使用下边包车型大巴授命:

$ pipenv update flask

设若您还从未备选好使用新型版本,能够升高到0.12.3版本:

$ pip install flask==0.12.3

然后更新requirements.txt:

flask ~> 0.12.3

假如运用Pipenv,则动用上边包车型大巴吩咐:

$ pipenv install flask==0.12.3

附注

  • NVD是美利坚合众国政党搜罗网络安全漏洞的网址,实际情况见National Vulnerability
    Database;
  • CWE(Common Weakness
    Enumeration,常见缺欠枚举)是漏洞分类标准,由美利坚合众国非营利组织MITRE维护,实际情况见Common
    Weakness
    Enumeration。
  • CVE(The Common Vulnerabilities and
    Exposures,通常漏洞及揭穿)是叁个漏洞数据库,由U.S.A.非营利组织MITRE维护,详细情形见Common
    Vulnerabilities and Exposures
    (CVE)。

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*
*
Website