漏洞标题
tempfile.mkdtemp() 在 Windows 上可能对所有用户都具有可读和可写权限
漏洞描述信息
在Windows上,tempfile.mkdtemp()返回的目录并不总是设置权限以限制其他用户读写临时目录,而是通常从默认位置继承正确的权限。不同的配置或没有个人资料目录的用户可能没有预期的权限。
如果你不是在使用Windows或未更改临时目录位置,那么你不受此漏洞影响。在其他平台上,返回的目录始终只有当前用户可以读写。
这个问题是由于Python在Windows上不支持Unix权限导致的。修复方法是在Windows上的mkdir函数中添加对Unix“700”的支持,mkdtemp()使用此函数来确保新创建的目录具有正确的权限。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
漏洞类别
缺省权限不正确
漏洞标题
tempfile.mkdtemp() may be readable and writeable by all users on Windows
漏洞描述信息
On Windows a directory returned by tempfile.mkdtemp() would not always have permissions set to restrict reading and writing to the temporary directory by other users, instead usually inheriting the correct permissions from the default location. Alternate configurations or users without a profile directory may not have the intended permissions.
If you’re not using Windows or haven’t changed the temporary directory location then you aren’t affected by this vulnerability. On other platforms the returned directory is consistently readable and writable only by the current user.
This issue was caused by Python not supporting Unix permissions on Windows. The fix adds support for Unix “700” for the mkdir function on Windows which is used by mkdtemp() to ensure the newly created directory has the proper permissions.
CVSS信息
N/A
漏洞类别
缺省权限不正确
漏洞标题
Python 安全漏洞
漏洞描述信息
Python是Python基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。 python 存在安全漏洞,该漏洞源于 Python 不支持 Windows 上的Unix权限,tempfile.mkdtemp() 返回的目录不会具有限制其他用户读取和写入临时目录。
CVSS信息
N/A
漏洞类别
其他