CVE-2014-1604 — RPLY Predictable Tmpfile Names Allows Cache Spoofing

描述

The parser cache functionality in parsergenerator.py in RPLY (aka python-rply) before 0.7.1 allows local users to spoof cache data by pre-creating a temporary rply-*.json file with a predictable name.

如何修補 CVE-2014-1604

要修補 CVE-2014-1604,請將受影響套件升級到下列已修補版本。

Debian/python-rply—升級至 0.7.1-1 或更新版本
PyPI/rply—升級至 0.7.1 或更新版本
PyPI/rply—未列出修補版本
PyPI/rply—升級至 fc9bbcd25b0b4f09bbd6339f710ad24c129d5d7c 或更新版本

CVE-2014-1604 正在被利用嗎?

低 — EPSS 為 0.1%,目前沒有觀察到大規模利用活動。

受影響套件(4)

from 0, < 0.7.1-1
from 0, < 0.7.1
from 0, < fc9bbcd25b0b4f09bbd6339f710ad24c129d5d7c | from 0, < 0.7.1

參考連結(13)

ADVISORYsecunia.com/advisories/56429
ADVISORYgithub.com/advisories/GHSA-9gcf-pq99-rjw3
ADVISORYnvd.nist.gov/vuln/detail/CVE-2014-1604
ADVISORYsecurity-tracker.debian.org/tracker/CVE-2014-1604
PATCHgithub.com/alex/rply