Python pip 不安全临时文件漏洞

漏洞信息详情

Python pip 不安全临时文件漏洞

• CNNVD编号：CNNVD-201305-074
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2013-1888
  
• 漏洞类型：
  
  
  后置链接
  
• 发布时间：
  
  2013-05-03
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2021-03-16
  
• 厂        商：
  
  pip-installer
• 漏洞来源：
  Thomas Güttler

Python是Python软件基金会的一套开源的、面向对象的程序设计语言。pip是一套用于安装和管理Python软件包的工具。

pip 1.3之前的版本中存在安全漏洞。本地攻击者可通过在/tmp/pip-build临时目录下的文件上实施符号链接攻击，利用该漏洞覆盖任意文件。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.openwall.com/lists/oss-security/2013/03/22/10

来源:FEDORA

链接:http://lists.fedoraproject.org/pipermail/package-announce/2013-May/106311.html

来源:CONFIRM

链接:https://github.com/pypa/pip/pull/734/files

来源:CONFIRM

链接:https://github.com/pypa/pip/pull/780/files

来源:FEDORA

链接:http://lists.fedoraproject.org/pipermail/package-announce/2013-May/105952.html

来源:FEDORA

链接:http://lists.fedoraproject.org/pipermail/package-announce/2013-May/105989.html

来源:CONFIRM

链接:https://github.com/pypa/pip/issues/725

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2013/03/22/10