Amazon Linux 2023python3.13-filelock (ALAS2023-2026-1411)

medium Nessus Plugin ID 299516

語言:

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此，會受到 ALAS2023-2026-1411 公告中所提及的多個弱點影響。

filelock 是 Python 的平台獨立檔案鎖定。在 3.20.1之前的版本中檢查使用時間 (TOCTOU) 的爭用情形會允許本機攻擊者透過符號連結攻擊損毀或截斷任意使用者檔案。Unix 和 Windows 鎖定檔案建立皆存在弱點其中 filelock 會在以 O_TRUNC 開啟檔案之前檢查檔案是否存在。攻擊者可在檢查與開啟之間的時間間隔內建立受害檔案的符號連結進而造成 os.open() 遵循符號連結並截斷目標檔案。Unix、Linux、macOS 和 Windows 系統上的所有 filelock 使用者都會受到影響。
此弱點會影響相依程式庫。若要發動此攻擊需要本機檔案系統存取權和建立符號連結的能力 (在 Unix 上為標準使用者權限在 Windows 10+ 上為開發人員模式)。當鎖定檔案路徑可預測時惡意利用可在嘗試 1-3 次後成功。此問題已在版本 3.20.1中修正。
若無法立即升級請使用 SoftFileLock 而非 UnixFileLock/WindowsFileLock (注意
不同的鎖定語意可能不適用於所有使用案例)確保鎖定檔案目錄具有限制性權限 (chmod 0700)以防止未受信任的使用者建立符號連結和/或在執行受信任的應用程式之前監控鎖定檔案目錄是否有可疑的符號連結。這些因應措施僅能提供部分緩解措施。爭用情形仍會遭到惡意利用。強烈建議升級至 3.20.1 版。 (CVE-2025-68146)

filelock 是 Python 的平台獨立檔案鎖定。在 3.20.3版之前filelock 套件的 SoftFileLock 實作中存在一個 TOCTOU 爭用情形弱點。具有本機檔案系統存取權和建立符號連結權限的攻擊者可惡意利用權限驗證和檔案建立之間的爭用情形造成鎖定作業失敗或行為異常。該弱點發生在raise_on_not_writable_file() (權限檢查) 和 os.open() (檔案建立) 之間的 _acquire() 方法中。在此爭用期間攻擊者可在鎖定檔案路徑上建立符號連結這可能會造成鎖定在非預期的目標檔案上運作或導致拒絕服務。此問題已在 3.20.3 版中修正。(CVE-2026-22701)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。