https://blog.qife122.com/tags/python%E5%8C%85%E7%AE%A1%E7%90%86/ Recent content in Python包管理 on 办公AI智能小助手 Hugo zh-cn qife Thu, 23 Oct 2025 18:53:53 +0800 https://blog.qife122.com/p/uv%E5%9C%A8%E6%8F%90%E5%8F%96%E5%90%ABpax%E5%A4%B4%E7%9A%84tar%E5%8C%85%E6%97%B6%E5%AD%98%E5%9C%A8%E8%A7%A3%E6%9E%90%E5%B7%AE%E5%BC%82%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Thu, 23 Oct 2025 18:53:53 +0800 https://blog.qife122.com/p/uv%E5%9C%A8%E6%8F%90%E5%8F%96%E5%90%ABpax%E5%A4%B4%E7%9A%84tar%E5%8C%85%E6%97%B6%E5%AD%98%E5%9C%A8%E8%A7%A3%E6%9E%90%E5%B7%AE%E5%BC%82%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="uv在tar提取过程中存在pax头解析差异">uv在tar提取过程中存在PAX头解析差异</h1> <h2 id="漏洞详情">漏洞详情</h2> <h3 id="受影响版本">受影响版本</h3> <ul> <li>uv &lt;= 0.9.4</li> </ul> <h3 id="已修复版本">已修复版本</h3> <ul> <li>uv 0.9.5</li> </ul> <h2 id="漏洞描述">漏洞描述</h2> <h3 id="影响">影响</h3> <p>在uv 0.9.4及更早版本中，处理包含PAX头部且具有文件大小覆盖的tar压缩包时存在解析问题。攻击者可以构造特定的源码分发包（tar格式），在使用uv安装时与其他Python包安装器产生不同的提取结果。</p>