1.漏洞描述 自Python 3.12.0版本起，asyncio._SelectorSocketTransport.writelines() 方法存在一个漏洞：当写入缓冲区达到"高水位标记"时，该方法不会暂停写入操作并向协议层(Protocol)发出信号以清空缓冲区数据到网络。因此，协议层可能无法定期排空写入缓冲区，最终导致内存耗尽风险。该漏洞的影响范围较窄，需同时满足以下条件才会受影响： 使用Python 3.12.0或更高版本、运行环境为macOS或Linux系统、正在使用asyncio模块的协议功能、调用了.writelines()方法（该方法的零拷贝写入行为在Python 3.12.0中新增）。若不符合上述所有条件，则您的Python使用不受此漏洞影响。特别说明：此问题与Python 3.12.0版本在特定平台（macOS/Linux）上对.writelines()方法引入的零拷贝优化实现相关，可能导致缓冲区未及时清空的情况。 2.影响产品(系统版本 是否受影响) 银河麒麟高级服务器操作系统 V10 SP1 不影响 银河麒麟高级服务器操作系统 V10 SP2 不影响 银河麒麟高级服务器操作系统 V10 SP3 不影响 银河麒麟高级服务器操作系统（Host版）V10 不影响 银河麒麟高级服务器操作系统 V10 HPC 不影响 银河麒麟高级服务器操作系统 V10 SP3 2403 不影响 银河麒麟高级服务器操作系统 V10 SP3 2309a 不影响 银河麒麟云底座操作系统 V10 不影响 银河麒麟高级服务器操作系统 V10 SP3 2309b 不影响 3.漏洞评分( 漏洞编号 危害程度 CVSS 3.1 评分 漏洞类型) CVE-2024-12254 重要 7.5 其他 漏洞评分向量：CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 4.修复方案 无需修复