玩蛇网提供最新Python编程技术信息以及Python资源下载!
您现在的位置: 玩蛇网首页 > Python资讯 > 正文内容

Python团队修复哈希碰撞漏洞 紧急更新

Python团队修复哈希碰撞漏洞 紧急更新

Python编程语言的开发团队,在前不久已经对四个主要版本的分支进行了更新。

发布了2.6.8、2.7.3、3.1.5和3.2.3版本,这些版本主要修复了几个重要的安全漏洞。其中包括之前已经危及多个编程语言的哈希碰撞漏洞。

Python内哈希漏洞是基于dict字典set类型,攻击者可利用特殊的输入语句导致超长的计算时间,甚至拒绝服务,具体来说,攻击者可以通过哈希碰撞来计算成千上万的键值,这会导致构造哈希表时的二元算法复杂性。

团队为了解决这个错误,在新版本中增加了Python字符串类型、datetime.date和datetime.datetime的哈希随机化功能,这可以防止攻击者计算这些类型的碰撞键值。

事实上,不接受不受信任的输入的Python应用程序不容易受到这类攻击。以上提到的Python稳定版本中,哈希随机化默认被禁用,可通过-R命令行选项,设置环境变量PYTHONHASHSEED的值为random。

这些版本还修复了expat XML解析库中的哈希安全问题,主要与Python core类型有关。现在expat库中使用的哈希算法已经被随机化。

玩蛇网文章,转载请注明出处和文章网址:http://www.iplaypy.com/news/a127.html [复制]



我要小额赞助,鼓励作者写出更好的教程↓↓↓

玩蛇网Python QQ群,欢迎加入: ① 279974227 玩蛇网Python新手群
修订日期:2015年12月15日 - 11时34分19秒 发布自玩蛇网

我要分享到:
评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)

必知PYTHON教程 Must Know PYTHON Tutorials

必知PYTHON模块 Must Know PYTHON Modules