漏洞信息详情

Python pip 不安全临时文件漏洞

• CNNVD编号：CNNVD-201305-074
• 危害等级： 低危
  
• CVE编号： CVE-2013-1888
• 漏洞类型： 后置链接
• 发布时间： 2013-05-03
• 威胁类型： 本地
• 更新时间： 2021-03-16
• 厂        商： pip-installer
• 漏洞来源： Thomas Güttler

漏洞简介

Python是Python软件基金会的一套开源的、面向对象的程序设计语言。pip是一套用于安装和管理Python软件包的工具。

pip 1.3之前的版本中存在安全漏洞。本地攻击者可通过在/tmp/pip-build临时目录下的文件上实施符号链接攻击，利用该漏洞覆盖任意文件。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.openwall.com/lists/oss-security/2013/03/22/10

参考网址

来源:FEDORA

链接:http://lists.fedoraproject.org/pipermail/package-announce/2013-May/106311.HTML

来源:CONFIRM

链接:https://github.com/pypa/pip/pull/734/files

来源:CONFIRM

链接:https://github.com/pypa/pip/pull/780/files

来源:FEDORA

链接:http://lists.fedoraproject.org/pipermail/package-announce/2013-May/105952.HTML

来源:FEDORA

链接:http://lists.fedoraproject.org/pipermail/package-announce/2013-May/105989.HTML

来源:CONFIRM

链接:https://github.com/pypa/pip/issues/725

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2013/03/22/10

受影响实体

• Pip-Installer Pip:1.2.1  
• Pip-Installer Pip:1.2  
• Pip-Installer Pip:1.1  
• Pip-Installer Pip:1.0.2  
• Pip-Installer Pip:1.0.1  

补丁

• Python pip 不安全临时文件漏洞的修复措施