作为Python,Jython和CPython之间的差异而感到困惑。 我理解Jython是Java中的Python实现,CPython是相同的,除了它是用C实现的。
但我真正感到困惑的是识别Python中的漏洞。 如下面的两个。
例如 - CVE-2016-5636 - 此处似乎无法在Jython中复制此漏洞。
https://bugzilla.redhat.com/show_bug.cgi?id=1345857
同样看 - CVE-2016-5699 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5699
它说 " urllib2中的HTTPConnection.putheader函数中的CRLF注入漏洞和2.7.4之前的2.7.10和3.x之前的 CPython (又称Python)中的urllib允许远程攻击者注入任意HTTP头通过URL中的CRLF序列。"
这是否意味着CVE-2016-5699在Jython中不易受到攻击?
总的来说 - 我想知道的是,Python中的漏洞是否意味着它在Jython中容易受到攻击?
答案 0 :(得分:1)
不一定。当你提到像#34; Python"这样的东西时,你可能指的是两个不同的东西:
通常,Python语言不会在不同的实现中发生变化(很多)。语言的处理方式有哪些变化,包括调用哪些外部系统函数。
没有任何其他区别的Python通常会引用标准实现CPython。如上所述,其他人是Jython和IronPython。其中每个都在不同的VM中运行:Jython的JVM和IronPython的dotnet。例如,这些VM可能以不同方式分配内存,从而防止在不同的VM中发生基于内存的错误。在提到CVE-2016-5636的情况下,它注意到Jython调用了zip版本的Java版本,而CPython可能会调用zip版本的C版本。
简而言之 - 如果语言出现问题的方式存在缺陷,则可能会影响所有实现。否则,您需要逐个检查每个平台的漏洞。
附录:根据the Red Hat tracker for CVE-2016-5699,这是语言错误,因此在更新之前可能(但不保证)在所有实施中都容易受到攻击。
答案 1 :(得分:0)
不一定,这一切都取决于Python标准库JPython使用哪些部分,哪些部分被修改,哪些部分被重新实现,哪些部分被省略......
urllib
是标准Python发行版的一部分,您可以在标准CPython和JPython的urllib.py
文件夹中找到Lib
。可悲的是,他们甚至在代码中说明了这一点:
__version__ = '1.17' # XXX This version is not always updated :-(
所以你不能依赖它来弄清楚Python代码本身是否有错(并且它是在特定版本中修复的)。
此外,漏洞利用不必与围绕较低级字节码的实际Python包装以及最终解释器相关 - 它可以是任何这些东西,或它们的组合。这就是为什么他们说特定CPython版本中不存在漏洞利用的原因,因为假设整个堆栈与标准库一起更新。
因此,除非漏洞利用程序明确说明问题出在Python代码本身(例如在您的示例中的urllib.py
中)并且它已在所述模块的特定版本中修复,否则您无法确定它不是由于底层解释器,如果是 - 是否同样适用于PVM和JVM。