AIGC

CPython zipfile 模块高危漏洞 CVE-2024-8088

CPython 的 zipfile 模块存在一个高危漏洞，编号为 CVE-2024-8088。该漏洞会导致在处理恶意构造的 zip 档案时，程序陷入无限循环。具体来说，当使用 zipfile.Path 类及其方法（如 namelist()`、`iterdir()`、`extractall() 等）遍历 zip 档案条目名称时，可能会触发无限循环。

此漏洞的根本原因在于 zipfile._path._ancestry() 方法中的路径处理不当。具体来说，代码中的 path.rstrip(posixpath.sep) 和 while 循环条件未正确处理路径，导致无限循环。例如，`posixpath.split("//") 返回 ("//", "")，而 "//" != posixpath.sep` 导致循环无法退出。

该漏洞已被修复，建议更新 CPython 并加强输入验证，以防止潜在的拒绝服务攻击。

原文链接： https://www.openwall.com/lists/oss-security/2024/08/22/1 https://www.openwall.com/lists/oss-security/2024/08/22/4

标签： #CPython #漏洞 #zipfile #无限循环
#AIGC

Flatpak 发现了一个安全漏洞 (CVE-2024-42472)，该漏洞允许使用持久目录的应用程序访问主机文件。受影响的版本包括所有低于 1.14.10 的版本和 1.15.x 低于 1.15.10 的版本。修复版本为 1.14.x 大于等于 1.14.10 和所有大于等于 1.15.10 的版本。

该漏洞允许恶意或被破坏的 Flatpak 应用读写通常无法访问的文件位置，影响完整性和保密性。漏洞的原因是当使用持久目录时，如果源目录被替换为符号链接，应用程序启动时绑定挂载会跟随符号链接，将指向的任何内容挂载到沙箱中。

修复包括在 Flatpak 1.14.10 和 1.15.10 中，并需要添加新的 --bind-fd 选项到 bubblewrap（Flatpak 使用的沙箱组件）以避免时间检查/时间使用竞争条件。如果难以修补 bubblewrap，可以仅应用补丁“不跟随符号链接挂载持久目录”，并避免同时运行同一不受信任应用的两个实例。

详情请参阅：https://github.com/flatpak/flatpak/security/advisories/GHSA-7hgv-f2j8-xw87

标签：#Linux #Security #Flatpak
#AIGC

OpenSSL 正在考虑弃用 TLS 1.0 和 TLS 1.1 协议。目前，这些协议在运行时被禁用，需要通过降低 SSL 安全级别值来启用。计划在未来的 4.0 版本（预计在未来 12-18 个月内发布）中，在构建时明确禁用 TLS 1.0/1.1，并考虑在未来主要版本中完全移除相关代码。默认配置可以被覆盖以重新启用 TLS 1.0/1.1。

社区提出的问题包括：

1. 发行版/用户是否对这一时间框架内的方法感到满意？
2. OpenSSL 构建者是否会使用默认配置（在 4.0 中禁用 TLS 1.0/1.1），还是会在他们的构建中重新启用这些协议？
3. 如果重新启用已弃用的协议，什么样的警告机制可以合理地通知用户这些协议将在未来某个时间点被移除，从而促使用户更新到更安全的协议？

欢迎社区提供对这些问题的反馈。

原文链接: https://www.openwall.com/lists/oss-security/2024/08/06/1
标签: #OpenSSL #网络安全 #TLS
#AIGC