Google App Engine Python SDK “FakeFile”对象本地安全限制绕过漏洞

受影响系统:

Google Google App Engine 1.5.3
Google Google App Engine 1.5
Google Google App Engine 1.0

不受影响系统:

Google Google App Engine 1.5.4

描述:


BUGTRAQ  ID: 50646
CVE ID: CVE-2011-4211

Google App Engine可使Web开发者开发自己的Web应用程序、在其内部框架中测试并可部署到Google’s appspot.com域。

Google App Engine在实现上存在本地安全限制绕过漏洞,本地攻击者可利用此漏洞绕过安全限制并在受影响系统上创建或覆盖任意文件。

<*来源:Adi Sharabani
  
  链接:http://blog.watchfire.com/files/googleappenginesdk.pdf
*>

建议:


厂商补丁:

Google
——
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.google.com