CVE-2014-1624

描述

Race condition in the xdg.BaseDirectory.get_runtime_dir function in python-xdg 0.25 allows local users to overwrite arbitrary files by pre-creating /tmp/pyxdg-runtime-dir-fallback-victim to point to a victim-owned location, then replacing it with a symlink to an attacker-controlled location once the get_runtime_dir function is called.

如何修補 CVE-2014-1624

要修補 CVE-2014-1624,請將受影響套件升級到下列已修補版本。

• Debian/pyxdg—升級至 0.25-4 或更新版本
• PyPI/pyxdg—升級至 0.26 或更新版本
• —升級至 0.26 或更新版本

CVE-2014-1624 正在被利用嗎?

低 — EPSS 為 0.0%,目前沒有觀察到大規模利用活動。

受影響套件(3)

• from 0, < 0.25-4
• from 0, < 0.26
• >= 0.25, < 0.26

參考連結(12)

• ADVISORYgithub.com/advisories/GHSA-7372-q459-jxhr
• ADVISORYnvd.nist.gov/vuln/detail/CVE-2014-1624
• ADVISORYsecurity-tracker.debian.org/tracker/CVE-2014-1624
• PATCHgithub.com/takluyver/pyxdg
• WEB