Confiira !!
Uma falha no PyYAML pode permitir que invasores executem código arbitrário.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Comunicado de Segurança do Gentoo Linux GLSA 202003-45
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
https://security.gentoo.org/
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Gravidade: alta
Título: PyYAML: Execução de código arbitrário
Data: 19 de março de 2020
Erros: # 659348
ID: 202003-45
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Sinopse
========
Uma falha no PyYAML pode permitir que invasores executem código arbitrário.
fundo
==========
PyYAML é um analisador e emissor de YAML para Python.
Pacotes afetados
=================
-------------------------------------------------- -----------------
Pacote / vulnerável / não afetado
-------------------------------------------------- -----------------
1 dev-python / pyyaml <5.1> = 5.1
Descrição
===========
Verificou-se que o uso da API yaml.load () em entradas não confiáveis poderia levar
a execução arbitrária de código.
Impacto
======
Um invasor remoto pode atrair um usuário para processar processos especialmente criados
entrada em um aplicativo usando yaml.load () de PyYAML, possivelmente
resultando na execução de código arbitrário com os privilégios do
processo ou uma condição de negação de serviço.
Gambiarra
==========
Não existe nenhuma solução conhecida neste momento.
Resolução
==========
Todos os usuários do PyYAML devem atualizar para a versão mais recente:
# emerge --sync
# emerge --ask --oneshot --verbose "> = dev-python / pyyaml-5.1"
Referências
==========
[1] CVE-2017-18342.
https://nvd.nist.gov/vuln/detail/CVE-2017-18342
Disponibilidade
============
Este GLSA e quaisquer atualizações estão disponíveis para visualização em
o site de segurança do Gentoo:
https://security.gentoo.org/glsa/202003-45
Preocupações?
=========
A segurança é o foco principal do Gentoo Linux e garante o
confidencialidade e segurança das máquinas de nossos usuários são de extrema importância
importância para nós. Quaisquer preocupações de segurança devem ser tratadas para
Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo. % MINIFYHTML84278374bf44ebd8a45db5350758f72813% ou, alternativamente, você pode registrar um erro em
https://bugs.gentoo.org.
Licença
=======
Copyright 2020 Fundação Gentoo, Inc; texto referenciado
pertence ao (s) seu (s) proprietário (s).
O conteúdo deste documento está licenciado sob a
Creative Commons - Licença de atribuição / compartilhamento similar.
https://creativecommons.org/licenses/by-sa/2.5
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário