python_software_foundation python 漏洞 | KnowSafe漏洞情报平台

基本信息

漏洞ID：1183920
漏洞类型：其他
发布日期：2008-01-28
更新时间：2015-04-13
CVE编号： CVE-2008-5983
CNNVD-ID：CNNVD-200901-385
漏洞平台： N/A
CVSS评分：6.9

漏洞来源

<a href="https://www.securityfocus.com/bid/40862" target="_blank">https://www.securityfocus.com/bid/40862</a><br/> <a href="http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200901-385" target="_blank">http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200901-385</a><br/>

漏洞详情

Python2.6及之前的版本(也有可能是之后的版本)中的PySys_SetArgvAPI函数存在不可信的搜索路径漏洞。当argv[0]自变量没有包含一个路径分隔符时，该漏洞会预谋一个对sys.path的空字符串。这使得本地用户可以借助目前正在工作的目录中的一个特洛伊木马python文件，执行任意的代码。

参考资料

来源:MISC
链接:https://bugzilla.redhat.com/show_bug.cgi?id=482814
来源:MLIST
名称:[oss-security]20090130Re:CVErequest--Python<2.6PySys_SetArgvissues(epiphany,csound,dia,eog,gedit,xchat,vim,nautilus-python,Gnumeric)
链接:http://www.openwall.com/lists/oss-security/2009/01/30/2
来源:MLIST
名称:[oss-security]20090128Re:CVErequest--Python<2.6PySys_SetArgvissues(epiphany,csound,dia,eog,gedit,xchat,vim,nautilus-python,Gnumeric)
链接:http://www.openwall.com/lists/oss-security/2009/01/28/5
来源:MLIST
名称:[oss-security]20090126CVErequest--Python<2.6PySys_SetArgvissues(epiphany,csound,dia,eog,gedit,xchat,vim,nautilus-python,Gnumeric)
链接:http://www.openwall.com/lists/oss-security/2009/01/26/2
来源:MLIST
名称:[debian-bugs-rc]20080805Bug#484305:bicyclerepair:bike.vimimportsuntrustedpythonfilesfromcwd
链接:http://www.nabble.com/Bug-484305%3A-bicyclerepair%3A-bike.vim-imports-untrusted-python-files-from-cwd-td18848099.html
来源:MLIST
名称:[debian-bugs]20081112Bug#493937:[Patch]PreventloadingofPythonmodulesinworkingdirectory
链接:h