玩蛇网提供最新Python编程技术信息以及Python资源下载!
您现在的位置: 玩蛇网首页 > 【Python资讯】Python业界新闻 > 正文内容

Python团队修复哈希碰撞漏洞 紧急更新

Python入门佳作 经典教程的全新修订 10个项目引人入胜
玩蛇网推荐图文教程:python黑客多线程扫描器

Python团队修复哈希碰撞漏洞 紧急更新

Python编程语言的开发团队,在前不久已经对四个主要版本的分支进行了更新。

发布了2.6.8、2.7.3、3.1.5和3.2.3版本,这些版本主要修复了几个重要的安全漏洞。其中包括之前已经危及多个编程语言的哈希碰撞漏洞。

Python内哈希漏洞是基于dict字典set类型,攻击者可利用特殊的输入语句导致超长的计算时间,甚至拒绝服务,具体来说,攻击者可以通过哈希碰撞来计算成千上万的键值,这会导致构造哈希表时的二元算法复杂性。

团队为了解决这个错误,在新版本中增加了Python字符串类型、datetime.date和datetime.datetime的哈希随机化功能,这可以防止攻击者计算这些类型的碰撞键值。

事实上,不接受不受信任的输入的Python应用程序不容易受到这类攻击。以上提到的Python稳定版本中,哈希随机化默认被禁用,可通过-R命令行选项,设置环境变量PYTHONHASHSEED的值为random。

这些版本还修复了expat XML解析库中的哈希安全问题,主要与Python core类型有关。现在expat库中使用的哈希算法已经被随机化。

玩蛇网文章,转载请注明出处和来源网址:http://www.iplaypython.com/news/a127.html



微信公众号搜索"玩蛇网Python之家"加关注,每日最新的Python资讯、图文视频教程可以让你一手全掌握。强烈推荐关注!

微信扫描下图可直接关注

玩蛇网PythonQQ群,欢迎加入: ① 240764603 玩蛇网Python新手群
出炉日期:2015-12-15 11:34 玩蛇网 www.iplaypython.com

我要分享到:
评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)

必知PYTHON教程 Must Know PYTHON Tutorials

必知PYTHON模块 Must Know PYTHON Modules