低危 python 'distutils'组件'~/.pypirc'文件本地竞争条件漏洞

CVE编号

CVE-2011-4944

利用情况

暂无

补丁情况

官方补丁

披露时间

2012-08-28
漏洞描述
Python是一种即译式的,互动的,面向对象的编程语言。distutils不安全创建~/.pypirc文件,其先把用户的用户名和密码写入到文件,然后使用chmod设置0600时存在竞争条件错误。在/home/user目录默认为0700的系统上不存在问题,但是如果home目录权限为0755的情况下存在比较小的竞争条件窗口可泄露验证凭据。
解决建议
用户可参考如下供应商提供的安全公告获得补丁信息:http://bugs.python.org/file23824/pypirc-secure.diff
参考链接
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=650555
http://bugs.python.org/file23824/pypirc-secure.diff
http://bugs.python.org/issue13512
http://lists.apple.com/archives/security-announce/2013/Oct/msg00004.html
http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00040.html
http://secunia.com/advisories/50858
http://secunia.com/advisories/51024
http://secunia.com/advisories/51040
http://secunia.com/advisories/51087
http://secunia.com/advisories/51089
http://www.openwall.com/lists/oss-security/2012/03/27/10
http://www.openwall.com/lists/oss-security/2012/03/27/2
http://www.openwall.com/lists/oss-security/2012/03/27/5
http://www.ubuntu.com/usn/USN-1592-1
http://www.ubuntu.com/usn/USN-1596-1
http://www.ubuntu.com/usn/USN-1613-1
http://www.ubuntu.com/usn/USN-1613-2
http://www.ubuntu.com/usn/USN-1615-1
http://www.ubuntu.com/usn/USN-1616-1
https://bugzilla.redhat.com/show_bug.cgi?id=758905
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 python python 2.6.1 -
运行在以下环境
应用 python python 2.6.2 -
运行在以下环境
应用 python python 2.6.2150 -
运行在以下环境
应用 python python 2.6.3 -
运行在以下环境
应用 python python 2.6.4 -
运行在以下环境
应用 python python 2.6.5 -
运行在以下环境
应用 python python 2.6.6 -
运行在以下环境
应用 python python 2.6.6150 -
运行在以下环境
应用 python python 2.6.7 -
运行在以下环境
应用 python python 2.6.8 -
运行在以下环境
应用 python python 2.7.1 -
运行在以下环境
应用 python python 2.7.1150 -
运行在以下环境
应用 python python 2.7.2 -
运行在以下环境
应用 python python 2.7.2150 -
运行在以下环境
应用 python python 2.7.3 -
运行在以下环境
应用 python python 3.0 -
运行在以下环境
应用 python python 3.0.1 -
运行在以下环境
应用 python python 3.1 -
运行在以下环境
应用 python python 3.1.1 -
运行在以下环境
应用 python python 3.1.2 -
运行在以下环境
应用 python python 3.1.2150 -
运行在以下环境
应用 python python 3.1.3 -
运行在以下环境
应用 python python 3.1.4 -
运行在以下环境
应用 python python 3.1.5 -
运行在以下环境
应用 python python 3.2 -
运行在以下环境
系统 amazon_AMI python26 * Up to
(excluding)
2.6.8-2.28.amzn1
运行在以下环境
系统 centos_5 python-libs * Up to
(excluding)
2.4.3-46.el5_8.2
运行在以下环境
系统 centos_6 python-libs * Up to
(excluding)
2.6.6-29.el6_2.2
运行在以下环境
系统 debian_10 python2.7 * Up to
(excluding)
2.7.3~rc2-2
运行在以下环境
系统 debian_11 python2.7 * Up to
(excluding)
2.7.3~rc2-2
运行在以下环境
系统 debian_6 python2.6 * Up to
(excluding)
2.6.6-8+deb6u1
运行在以下环境
系统 opensuse_Leap_15.1 python3-testsuite * Up to
(excluding)
3.6.10-lp151.6.7.1
运行在以下环境
系统 oracle_5 oraclelinux-release * Up to
(excluding)
2.4.3-46.el5_8.2
运行在以下环境
系统 oracle_6 oraclelinux-release * Up to
(excluding)
2.6.6-29.el6_2.2
运行在以下环境
系统 redhat_5 python * Up to
(excluding)
0:2.4.3-46.el5_8.2
运行在以下环境
系统 redhat_6 python * Up to
(excluding)
0:2.6.6-29.el6_2.2
运行在以下环境
系统 suse_12 python-devel * Up to
(excluding)
2.7.7-2
运行在以下环境
系统 ubuntu_12.04.5_lts python2.7 * Up to
(excluding)
2.7.3~rc2-2
阿里云评分
2.3
  • 攻击路径
    本地
  • 攻击复杂度
    困难
  • 权限要求
    普通权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    -
CWE-ID 漏洞类型
CWE-264 权限、特权和访问控制
阿里云安全产品覆盖情况