安全公告/【CVE-2022-21716】
基本信息
漏洞描述
Twisted 是一个基于事件的互联网应用程序框架,支持 Python 3.6+。在 22.2.0 之前,Twisted SSH 客户端和服务器实现能够接受对等方 SSH 版本标识符的无限量数据。这最终会使用所有可用内存的缓冲区。附加操作非常简单,只需“nc -rv localhost 22 < /dev/zero”即可。22.2.0 版本中有一个补丁可用。目前没有已知的解决方法。
修复方式
软件包升级 yum update python-twisted
参考
https://github.com/twisted/twisted/commit/89c395ee794e85a9657b112c4351417850330ef9
https://github.com/twisted/twisted/security/advisories/GHSA-rv6r-3f5q-9rgx
https://twistedmatrix.com/trac/ticket/10284
https://github.com/twisted/twisted/releases/tag/twisted-22.2.0
https://lists.debian.org/debian-lts-announce/2022/03/msg00009.html
https://www.oracle.com/security-alerts/cpuapr2022.html
https://security.gentoo.org/glsa/202301-02
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GLKHA6WREIVAMBQD7KKWYHPHGGNKMAG6/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7U6KYDTOLPICAVSR34G2WRYLFBD2YW5K/