漏洞信息详情

Jinja2‘jinja2.bccache.FileSystemBytecodeCache’不安全文件权限漏洞

• CNNVD编号：CNNVD-201401-184
• 危害等级： 中危
  
• CVE编号： CVE-2014-1402
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2014-01-14
• 威胁类型： 本地
• 更新时间： 2014-05-22
• 厂        商： pocoo
• 漏洞来源： Jakub Wilk

漏洞简介

Jinja2是一个基于Python的模板引擎，它拥有完整的unicode支持，并且提供了可选的沙箱模板执行环境来保证安全。

Jinja2 2.7.1及之前版本的bccache.FileSystemBytecodeCache中的默认配置存在安全漏洞，该漏洞源于程序没有正确创建临时文件。本地攻击者可借助/tmp目录下特制的cache文件利用该漏洞获取特权。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://jinja.pocoo.org/docs/changelog/

参考网址

来源:MLIST

名称:[oss-security] 20140110 Re: CVE Request: python-jinja2: arbitrary code execution vulnerability

链接:http://openwall.com/lists/oss-security/2014/01/10/3

来源:MANDRIVA

名称:MDVSA-2014:096

链接:http://www.mandriva.com/security/advisories?name=MDVSA-2014:096

来源:bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=1051421

来源:advisories.mageia.org

链接:http://advisories.mageia.org/MGASA-2014-0028.HTML

来源:MLIST

名称:[oss-security] 20140110 CVE Request: python-jinja2: arbitrary code execution vulnerability

链接:http://openwall.com/lists/oss-security/2014/01/10/2

来源:jinja.pocoo.org

链接:http://jinja.pocoo.org/docs/changelog/

来源:bugs.debian.org

链接:https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=734747

来源:SECUNIA

名称:56287

链接:http://secunia.com/advisories/56287

来源: BID

名称: 64759

链接:http://www.securityfocus.com/bid/64759

受影响实体

• Pocoo Jinja2:2.0:-  
• Pocoo Jinja2:2.0:Rc1  
• Pocoo Jinja2:2.1  
• Pocoo Jinja2:2.1.1  
• Pocoo Jinja2:2.2  

补丁

• Jinja2-2.7.2