近日，Python 軟體基金會（PSF）釋出 Python 3。8。8 和 3。9。2  版本，該版本主要修復了兩個值得注意的安全漏洞，其中一個名為“CVE-2021-3177”的漏洞容易被攻擊者遠端利用，基於程式碼執行可讓計算機離線。

乍一看，讓計算機離線並不是什麼大事，不過，倘若真的被有心之人利用該漏洞，那麼，使用 Python 的使用者難免會有一段糟心的體驗。

對此，在 Python 3。8。8 和或 3。9。2 RC 版本剛剛釋出三天之後，在部分使用者對安全漏洞擔憂的壓力下，新版 Python 加快了釋出的程序。同時，PSF 敦促 Python 使用者儘快將系統升級到 Python 3。8。8 或 3。9。2，特別是需要解決被跟蹤為 CVE-2021-3177 的遠端程式碼執行（RCE）漏洞。

Python 釋出團隊表示：“自從宣佈 Python 3。8。8 和 3。9。2 RC 版本釋出以來，我們收到了來自終端使用者的一些關於 CVE-2021-3177 安全方面的詢問，並敦促我們加快最終版本的釋出。”

具體的漏洞在於，Python 3。x 到 3。9。1 的 ctypes/callproc。c 中 PyCArg_repr 具有緩衝溢位，這可能導致遠端程式碼執行。

它也會影響到 ”接受浮點數作為不信任的輸入的 Python 應用程式，如 c_double。 param 的 1e300 引數所示。

該 Bug 的發生是因為不安全地使用了“sprintf”。

影響之所以廣泛，因為 Python 已預裝安裝到了多個 Linux 發行版和 Windows 10 系統中。

當前，各種 Linux 發行版（

如 De

bian）已經向後移植了安全補丁，

以確保遮蔽內建版本的 Python。

RedHat 也釋出公告表示，該漏洞是常見的記憶體缺陷。

“在 Python 內提供的 ctypes 模組中發現了基於堆疊的緩衝區溢位。使用 ctypes 而不仔細驗證傳遞給它的輸入的應用程式可能容易受到此漏洞的攻擊，這將允許攻擊者透過緩衝區溢位並使應用程式奔潰。”

同時紅帽也針對自家的版本進行了安全版本說明：

雖然遠端程式碼執行漏洞是一則壞訊息，不過，紅帽官方指出這個漏洞帶來的最大威脅是對系統可用性的威脅，這意味著攻擊者可能只能發動拒絕服務攻擊，簡單來講，就是讓計算機停止提供服務。

不過，為了避免一些不必要的麻煩，還是呼籲大家儘快升級。