Python 程式庫 jupyter_core < 5.8.0 不受控制的搜尋路徑

high Nessus Plugin ID 237906

語言:

概要

遠端 Windows 主機上安裝的 Python 程式庫受到不受控制的搜尋路徑弱點影響。

說明

偵測到的 Python 套件 jupyter_core 為 5.8.0 之前版本。因此，它受到 GHSA-33p9-3p43-82vq 公告中說明的一個弱點影響。Jupyter Core 是 Jupyter 專案的核心通用功能套件。在 Windows 上使用 5.8.0 版之前的 Jupyter Core 時，系統會搜尋共用的「%PROGRAMDATA%」目錄中的設定檔 (「SYSTEM_CONFIG_PATH」和「SYSTEM_JUPYTER_PATH」)，這可能會允許使用者建立影響其他使用者的設定檔。只有擁有多個使用者的共用 Windows 系統和未受保護的「%PROGRAMDATA%」會受到影響。使用者應升級至 Jupyter Core 5.8.0 版或更新版本以接收修補程式。現已提供一些其他的緩解措施。以系統管理員身分修改「%PROGRAMDATA%」目錄的權限，使其無法由未經授權的使用者寫入；或是以系統管理員身分建立具有適當限制權限的「%PROGRAMDATA%\jupyter」目錄；或是以使用者或系統管理員身分，將「%PROGRAMDATA%」環境變數設為具有適當限制權限的目錄 (例如，由系統管理員或目前使用者控制)。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。