漏洞起因
竞争条件错误
危险等级
低
影响系统
Python Software Foundation Python 2.5.6
Python Software Foundation Python 3.3
Python Software Foundation Python 3.2
Python Software Foundation Python 2.7
Python Software Foundation Python 2.6
不受影响系统
危害
本地攻击者可以利用漏洞获得敏感数据。
攻击所需条件
攻击者必须访问Python所在系统。
漏洞信息
Python是一种即译式的,互动的,面向对象的编程语言。
distutils不安全创建~/.pypirc文件,其先把用户的用户名和密码写入到文件,然后使用chmod设置0600时存在竞争条件错误。
在/home/user目录默认为0700的系统上不存在问题,但是如果home目录权限为0755的情况下存在比较小的竞争条件窗口可泄露验证凭据。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://bugs.python.org/file23824/pypirc-secure.diff
漏洞提供者
Vincent Danen
评论关闭。