lil混淆了Python,Jython和CPython之间的差异。 我知道Jython是Java中的Python实现,CPython除了在C中实现外,其余都是一样的。Python中认定的漏洞被认为是Jython中的漏洞吗?
但我真正困惑的是识别Python中的漏洞。 如下面的两个。
例如 - CVE-2016-5636 - 此处看来,该漏洞无法在Jython中再现。
https://bugzilla.redhat.com/show_bug.cgi?id=1345857
同样看 - CVE-2016-5699 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5699
它说 “CRLF注入中的urllib2和urllib的的HTTPConnection.putheader功能CPython的(又名Python)的前漏洞3.4.4之前的2.7.10和3.x允许远程攻击者通过URL中的CRLF序列注入任意HTTP头。“
这是否意味着CVE-2016-5699在Jython中不易受到攻击?
那么整体 - 我想知道的是,如果Python中的漏洞意味着它在Jython中很脆弱?
我对自己的专业知识不够有信心,但这可能完全取决于漏洞利用的工作方式。当将指令编译为java字节码时,可能会发生额外的检查,并且特定于实现的错误(读取:有效的拼写错误)可能不会跨越解释器继续进行,除非源码相同..也就是说,很容易无意中继承语义错误在从一种语言翻译到另一种语言时使用代码。 – Aaron