我正在评估我正在从事的项目是否受CVE列表(包括CVE-2016-6580)的影响。
该漏洞是...
使用任何版本的Python优先级构建的HTTP / 2实现 1.2.0之前的库可能会被恶意对象定位 通过让该对等方为每种可能分配优先级信息 HTTP / 2流ID。优先级树将愉快地继续存储 每个流的优先级信息,因此将分配 无限的内存量。尝试实际使用像 这也会导致维护树的CPU使用率过高。
什么是“ Python优先级库”?我不愿接受,但是除了那个特定的CVE中提到的那个项目外,这个项目似乎是完全未知的。
有人对此有更多信息吗?
答案 0 :(得分:0)
CVE指的是Python Hyper模块,它是python的HTTP2客户端,更具体地说是 priority 子模块。
这是与漏洞相关的Git拉取请求:
这是解决问题的报告: