Python CGIHTTPServer “is_cgi（）”安全限制绕过漏洞

发布日期：2014-03-10
更新日期：2014-07-02受影响系统：
Python python 3.x
Python python 2.7.x
描述：
--------------------------------------------------------------------------------
CVE（CAN） ID: CVE-2014-4650

Python是一种面向对象、直译式计算机程序设计语言。CGIHTTPServer模块可被用来设置简单的HTTP服务器。

Python 2.7.3版本处理"is_cgi（）"函数（Lib/CGIHTTPServer.py）内的URL编码路径时出现错误，导致攻击者可以通过目录遍历序列泄露任意CGI脚本的源代码并执行任意python脚本。

<*来源：RedTeam Pentesting GmbH （http://www.redteam-pentesting.de/）

链接：http://secunia.com/advisories/59091/
*>建议：
--------------------------------------------------------------------------------
厂商补丁：

Python
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Python:
http://bugs.python.org/issue21766

RedTeam Pentesting GmbH:
https://www.redteam-pentesting.de/en/advisories/rt-sa-2014-008/-python-cgihttpserver-file-disclosure-and-potential-code-execution《Python核心编程第二版》.（Wesley J. Chun ）.[高清PDF中文版] http://www.linuxidc.com/Linux/2013-06/85425.htm《Python开发技术详解》.（周伟,宗杰）.[高清PDF扫描版+随书视频+代码] http://www.linuxidc.com/Linux/2013-11/92693.htmPython脚本获取Linux系统信息 http://www.linuxidc.com/Linux/2013-08/88531.htm在Ubuntu下用Python搭建桌面算法交易研究环境 http://www.linuxidc.com/Linux/2013-11/92534.htmPython 的详细介绍：请点这里
Python 的下载地址：请点这里