漏洞信息详情
Jinja2‘jinja2.bccache.FileSystemBytecodeCache’不安全文件权限漏洞
- CNNVD编号:CNNVD-201401-184
- 危害等级: 中危
- CVE编号: CVE-2014-1402
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2014-01-14
- 威胁类型: 本地
- 更新时间: 2014-05-22
- 厂 商: pocoo
- 漏洞来源: Jakub Wilk
漏洞简介
Jinja2是一个基于Python的模板引擎,它拥有完整的unicode支持,并且提供了可选的沙箱模板执行环境来保证安全。
Jinja2 2.7.1及之前版本的bccache.FileSystemBytecodeCache中的默认配置存在安全漏洞,该漏洞源于程序没有正确创建临时文件。本地攻击者可借助/tmp目录下特制的cache文件利用该漏洞获取特权。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://jinja.pocoo.org/docs/changelog/
参考网址
来源:MLIST
名称:[oss-security] 20140110 Re: CVE Request: python-jinja2: arbitrary code execution vulnerability
链接:http://openwall.com/lists/oss-security/2014/01/10/3
来源:MANDRIVA
名称:MDVSA-2014:096
链接:http://www.mandriva.com/security/advisories?name=MDVSA-2014:096
来源:bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=1051421
来源:advisories.mageia.org
链接:http://advisories.mageia.org/MGASA-2014-0028.HTML
来源:MLIST
名称:[oss-security] 20140110 CVE Request: python-jinja2: arbitrary code execution vulnerability
链接:http://openwall.com/lists/oss-security/2014/01/10/2
来源:jinja.pocoo.org
链接:http://jinja.pocoo.org/docs/changelog/
来源:bugs.debian.org
链接:https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=734747
来源:SECUNIA
名称:56287
链接:http://secunia.com/advisories/56287
来源: BID
名称: 64759
链接:http://www.securityfocus.com/bid/64759
受影响实体
- Pocoo Jinja2:2.0:-
- Pocoo Jinja2:2.0:Rc1
- Pocoo Jinja2:2.1
- Pocoo Jinja2:2.1.1
- Pocoo Jinja2:2.2
补丁
- Jinja2-2.7.2
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论