Уязвимость записи в произвольные файлы в NumPy через атаку с использованием символьных ссылок на временные файлы
Описание
Обнаружена уязвимость в следующих файлах библиотеки NumPy:
core/tests/test_memmap.pycore/tests/test_multiarray.pyf2py/f2py2e.pylib/tests/test_io.py
Уязвимость позволяет локальным пользователям записывать данные в произвольные файлы через атаку с использованием символьных ссылок (symlink attack) на временные файлы.
Заявление
Служба безопасности Red Hat оценила эту проблему как имеющую низкое влияние на безопасность. В настоящее время не планируется устранение данной уязвимости в будущих обновлениях. Для получения дополнительной информации обратитесь к классификации серьёзности проблем.
Затронутые версии ПО
- NumPy до версии 1.8.1
Тип уязвимости
- Атака с использованием символьных ссылок (symlink attack)
- Запись в произвольные файлы
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| OpenShift Enterprise 1 | numpy | Will not fix | ||
| Red Hat Enterprise Linux 6 | numpy | Will not fix | ||
| Red Hat Enterprise Linux 7 | numpy | Will not fix | ||
| Red Hat Enterprise MRG 1 | numpy | Will not fix | ||
| Red Hat OpenShift Enterprise 2 | python27-numpy | Will not fix | ||
| Red Hat Software Collections | python27-numpy | Will not fix | ||
| Red Hat Software Collections | python33-numpy | Will not fix |
Показывать по
Дополнительная информация
Статус:
EPSS
2.1 Low
CVSS2
Связанные уязвимости
(1) core/tests/test_memmap.py, (2) core/tests/test_multiarray.py, (3) f2py/f2py2e.py, and (4) lib/tests/test_io.py in NumPy before 1.8.1 allow local users to write to arbitrary files via a symlink attack on a temporary file.
(1) core/tests/test_memmap.py, (2) core/tests/test_multiarray.py, (3) f2py/f2py2e.py, and (4) lib/tests/test_io.py in NumPy before 1.8.1 allow local users to write to arbitrary files via a symlink attack on a temporary file.
1) core/tests/test_memmap.py, (2) core/tests/test_multiarray.py, (3) ...
EPSS
2.1 Low
CVSS2