CVE ID(CVE-2021-4189)
CVE編號:CVE-2021-4189
安全級別:中等
發布日期:2022-04-22
詳細介紹
1.漏洞描述
Python是Python基金會的一套開源的、面向對象的程序設計語言。該語言具有可擴展、支持模塊和包、支持多種平臺等特點。python 存在代碼問題漏洞,該漏洞源于在 Python 中發現了一個缺陷,特別是在 PASV(被動)模式下使用 FTP(文件傳輸協議)客戶端庫時。缺陷在于默認情況下 FTP 客戶端如何信任來自 PASV 響應的主機。攻擊者可以利用此漏洞設置惡意 FTP 服務器,該服務器可以欺騙 FTP 客戶端連接回給定的 IP 地址和端口。這可能導致 FTP 客戶端掃描端口,否則這些端口是不可能的。ftplib 現在不再使用返回的地址,而是使用我們已經連接到的 IP 地址。對于想要舊行為的極少數用戶,請將 `ftplib.FTP` 實例上的 `trust_server_pasv_ipv4_address` 屬性設置為 True。
2.影響產品(系統版本 是否受影響)
銀河麒麟高級服務器操作系統 V10 SP3 2403 不影響
3.漏洞評分( 漏洞編號 危害程度 CVSS 3.1 評分 漏洞類型)
CVE-2021-4189 中等 5.3 其他
漏洞評分向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
4.修復方案
無需修復