CVE-2022-23651 in b2-sdk-python情報

要約

〜によって VulDB • 2026年06月01日

b2-sdk-pythonは、Backblazeが提供するクラウドストレージにアクセスするためのPythonライブラリです。SDKバージョン1.14.0およびそれ以前のLinuxおよびMac版リリースには、特定の条件下でローカル攻撃者がチェック・ザン・ユース・タイム・オブ・ユース(TOCTOU)競合状態を介して悪用できるキー情報漏洩脆弱性が含まれています。SqliteAccountInfo形式を使用するSDKユーザーは脆弱ですが、InMemoryAccountInfo形式を使用するユーザーは安全です。SqliteAccountInfoは、APIキー(およびバケット名からIDへのマッピング)をローカルデータベースファイル($XDG_CONFIG_HOME/b2/account_info、~/.b2_account_info、またはユーザー定義のパス)に保存します。ファイルが最初に作成された際、そのファイルは誰でも読み取り可能であり、その後(通常は数ミリ秒以内に)ユーザーのみが読み取り可能になるように変更されます。ファイルを含むディレクトリがローカル攻撃者に読み取り可能な場合、ファイルの作成と権限変更の間の短い期間中に、ローカル攻撃者はファイルを開いてハンドルを保持するために競合状態を悪用できます。これにより、ローカル攻撃者は、機密情報がファイルに保存された後にその内容を読み取ることができます。SqliteAccountInfoクラスを使用してデータを保存することに依存しているこのSDKの消費者は、SDKの最新バージョンにアップグレードする必要があります。ローカルユーザーがこの競合状態を使用してハンドルを開いた可能性がある場合は、影響を受けるデータベースファイルを削除し、すべてのアプリケーションキーを再生成する必要があります。ユーザーはb2-sdk-python 1.14.1以降にアップグレードする必要があります。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub, Inc.

予約する

2022年01月19日

モデレーション

承諾済み

エントリ

VDB-193664

EPSS

0.00214

アクティビティ

非常低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!