GLSA 202208-03: Babel: Remote code execution

Опасность:	средняя
Заголовок:	Babel: Remote code execution
Дата:	04.08.2022
Ошибки:	#786954
ID:	202208-03

Сводка

A vulnerability in Babel could result in remote code execution.

Назначение

Babel is a collection of tools for internationalizing Python applications.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
dev-python/Babel	< 2.9.1	>= 2.9.1	All supported architectures

Описание

Babel does not properly restrict which sources a locale can be loaded from. If Babel loads an attacker-controlled .dat file, arbitrary code execution can be achieved via unsafe Pickle deserialization.

Воздействие

An attacker with filesystem access and control over the locales Babel loads can achieve code execution.

Обход

There is no known workaround at this time.

Решение

All Babel users should upgrade to the latest version:

          # emerge --sync
          # emerge --ask --oneshot --verbose ">=dev-python/Babel-2.9.1"
        

Ссылки

• CVE-2021-20095

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-202208-03.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.