Python 本地权限提升漏洞
漏洞描述
Python 是一种解释型、高级和通用的编程语言。
Python 的受影响版本在Linux系统中存在本地权限提升漏洞,当代码使用 multiprocessing 模块并且配置multiprocessing 来使用 forkserver 启动方法时,同一计算机本地网络命名空间中的任何用户通过反序列化 pickle 执行任意代码,本地攻击者可利用此漏洞将权限升级到任何 forkserver 进程正在运行的用户。
| 漏洞名称 | Python 本地权限提升漏洞 |
|---|---|
| 漏洞类型 | 访问控制不恰当 |
| 发现时间 | 2022-11-07 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-2022-59796 |
| CVE编号 | CVE-2022-42919 |
| CNVD编号 | - |
影响范围
Python@[3.10, 3.10.8]
Python@[3.11.0rc2, 3.11.0rc2]
Python@[3.9.0, 3.9.15]
修复方案
官方已发布补丁,请点击查看:https://github.com/python/cpython/issues/97514
参考链接
https://www.oscs1024.com/hd/MPS-2022-59796
https://nvd.nist.gov/vuln/detail/CVE-2022-42919
https://github.com/python/cpython/issues/97514
https://github.com/gpshead/cpython/commit/6465b5334b5e7fcf7c8934ec18c1806a6a0a7b05
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
