1.漏洞描述 自Python 3.12.0版本起，asyncio._SelectorSocketTransport.writelines() 方法存在一個漏洞：當寫入緩沖區(qū)達到"高水位標記"時，該方法不會暫停寫入操作并向協(xié)議層(Protocol)發(fā)出信號以清空緩沖區(qū)數(shù)據(jù)到網絡。因此，協(xié)議層可能無法定期排空寫入緩沖區(qū)，最終導致內存耗盡風險。該漏洞的影響范圍較窄，需同時滿足以下條件才會受影響： 使用Python 3.12.0或更高版本、運行環(huán)境為macOS或Linux系統(tǒng)、正在使用asyncio模塊的協(xié)議功能、調用了.writelines()方法（該方法的零拷貝寫入行為在Python 3.12.0中新增）。若不符合上述所有條件，則您的Python使用不受此漏洞影響。特別說明：此問題與Python 3.12.0版本在特定平臺（macOS/Linux）上對.writelines()方法引入的零拷貝優(yōu)化實現(xiàn)相關，可能導致緩沖區(qū)未及時清空的情況。 2.影響產品(系統(tǒng)版本 是否受影響) 銀河麒麟高級服務器操作系統(tǒng) V10 SP1 不影響 銀河麒麟高級服務器操作系統(tǒng) V10 SP2 不影響 銀河麒麟高級服務器操作系統(tǒng) V10 SP3 不影響 銀河麒麟高級服務器操作系統(tǒng)（Host版）V10 不影響 銀河麒麟高級服務器操作系統(tǒng) V10 HPC 不影響 銀河麒麟高級服務器操作系統(tǒng) V10 SP3 2403 不影響 銀河麒麟高級服務器操作系統(tǒng) V10 SP3 2309a 不影響 銀河麒麟云底座操作系統(tǒng) V10 不影響 銀河麒麟高級服務器操作系統(tǒng) V10 SP3 2309b 不影響 3.漏洞評分( 漏洞編號 危害程度 CVSS 3.1 評分 漏洞類型) CVE-2024-12254 重要 7.5 其他 漏洞評分向量：CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 4.修復方案 無需修復