Description: 在3.8.18之前的Python、3.9.18之前的3.9.x、3.10.13之前的3.10.x和3.11.5之前的3.11.x中发现了一个问题。它主要影响使用TLS客户端身份验证的服务器(例如HTTP服务器)。如果创建了TLS服务器端套接字,将数据接收到套接字缓冲区,然后快速关闭,则会出现一个简短的窗口,其中SSLSocket实例将检测套接字为未连接并且不会启动握手,但缓冲数据仍可从套接字缓冲区读取。如果服务器端TLS对等方期望客户端证书身份验证,并且与有效的TLS流数据无法区分,则该数据将不会被身份验证。数据大小限制为适合缓冲区的数量。(TLS连接不能直接用于数据泄露,因为易受攻击的代码路径要求在初始化SSLSocket时关闭连接。) Broken commit info: Bugfix commit info: https://github.com/python/cpython/commit/75a875e0df0530b75b1470d797942f90f4a718d3 https://github.com/python/cpython/commit/0cb0c238d520a8718e313b52cffc356a5a7561bf https://github.com/python/cpython/commit/37d7180cb647f0bed0c1caab0037f3bc82e2af96 https://github.com/python/cpython/commit/264b1dacc67346efa0933d1e63f622676e0ed96b https://github.com/python/cpython/commit/b4bcc06a9cfe13d96d5270809d963f8ba278f89b
PR: https://gitee.com/src-anolis-os/python3/pulls/33
cve修复结果没法发布相关的修复包龙蜥 8.6 和8.8的缺失
https://anas.openanolis.cn/cves/detail/CVE-2023-40217