Python CPython 远程调试偏移表验证漏洞 (#148178) 漏洞概述 Python 的 模块在读取外部 元数据时缺乏严格的验证机制。当前仅验证版本兼容性,但未对偏移量和大小表进行前置校验,导致加载可选的异步元数据时,无效数据会被解包器(unwinder)直接消费,可能引发内存读取错误或解释远程进程布局异常。 影响范围 涉及 Python 远程调试功能( ) 影响所有使用异步调试和常规偏移表的场景 可能导致内存越界读取或程序崩溃 修复方案 1. 在异步调试和常规偏移表字段中增加全面验证 2. 若添加新字段但验证未通过,则拒绝加载 3. 清理其他潜在漏洞向量 4. 确保修复不影响运行时性能 关联 PR gh-148178: Validate async debug offsets read from remote process gh-148178: Validate remote debug offset tables on load gh-148178: Validate remote debug offset tables on load (GH-148187) #148577 备注 该漏洞已被标记为 和 建议回溯修复至 Python 3.14 版本 补丁非平凡,需重新创建