在5.3.1之前的PyYAML library中发现了一个漏洞，

admin

0
文章

0
评论

2023-12-01 23:25:22 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危在5.3.1之前的PyYAML library中发现了一个漏洞，

CVE编号

CVE-2020-1747

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-03-25

漏洞描述

在5.3.1之前的版本中，在PyYAML库中发现了一个漏洞，当它通过full_load方法或FullLoader加载器处理不可信的YAML文件时，容易被任意代码执行。使用库来处理不可信输入的应用程序可能容易受到此缺陷的影响。攻击者可以利用这个缺陷滥用python/object/new构造函数，在系统上执行任意代码。

解决建议

厂商尚未发布漏洞修复程序，请及时关注更新：https://pyyaml.org/

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00017.html
http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00017.html
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-1747
https://github.com/yaml/pyyaml/pull/386
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://www.oracle.com/security-alerts/cpujul2022.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	pyyaml	pyyaml	*		Up to (excluding) 5.3.1
	运行在以下环境
	系统	alpine_3.11	py3-yaml	*		Up to (excluding) 5.3.1-r0
	运行在以下环境
	系统	alpine_3.12	py3-yaml	*		Up to (excluding) 5.3.1-r0
	运行在以下环境
	系统	alpine_3.13	py3-yaml	*		Up to (excluding) 5.3.1-r0
	运行在以下环境
	系统	alpine_3.14	py3-yaml	*		Up to (excluding) 5.3.1-r0
	运行在以下环境
	系统	alpine_3.15	py3-yaml	*		Up to (excluding) 5.3.1-r0
	运行在以下环境
	系统	alpine_3.16	py3-yaml	*		Up to (excluding) 5.3.1-r0
	运行在以下环境
	系统	alpine_3.17	py3-yaml	*		Up to (excluding) 5.3.1-r0
	运行在以下环境
	系统	alpine_3.18	py3-yaml	*		Up to (excluding) 5.3.1-r0
	运行在以下环境
	系统	alpine_edge	py3-yaml	*		Up to (excluding) 5.3.1-r0
	运行在以下环境
	系统	centos_8	python38-cffi-debuginfo	*		Up to (excluding) 1.3.1-4.module+el8.2.0+5234+f98739b6
	运行在以下环境
	系统	debian_10	pyyaml	*		Up to (excluding) 3.13-2
	运行在以下环境
	系统	debian_11	pyyaml	*		Up to (excluding) 5.3-2
	运行在以下环境
	系统	debian_12	pyyaml	*		Up to (excluding) 5.3-2
	运行在以下环境
	系统	debian_sid	pyyaml	*		Up to (excluding) 5.3-2
	运行在以下环境
	系统	fedora_30	PyYAML	*		Up to (excluding) 5.3.1-1.fc30
	运行在以下环境
	系统	fedora_31	PyYAML	*		Up to (excluding) 5.3.1-1.fc31
	运行在以下环境
	系统	fedora_32	PyYAML	*		Up to (excluding) 5.4.1-1.fc32
	运行在以下环境
	系统	fedora_33	PyYAML-debugsource	*		Up to (excluding) 5.4.1-1.fc33
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	rubygem-bundler	*		Up to (excluding) 5.3.1-4.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	rubygem-bundler	*		Up to (excluding) 5.3.1-4.ky10
	运行在以下环境
	系统	opensuse_Leap_15.1	python3-PyYAML	*		Up to (excluding) 5.1.2-lp151.2.6.1
	运行在以下环境
	系统	oracle_8	oraclelinux-release	*		Up to (excluding) 2.8.4-4.module+el8.3.0+7824+e0098946
	运行在以下环境
	系统	redhat_8	python38-cffi-debuginfo	*		Up to (excluding) 1.3.1-4.module+el8.2.0+5234+f98739b6
	运行在以下环境
	系统	suse_12	python-PyYAML	*		Up to (excluding) 5.1.2-26.12
	运行在以下环境
	系统	suse_12_SP4	python-PyYAML	*		Up to (excluding) 5.1.2-26.12.1
	运行在以下环境
	系统	suse_12_SP5	python-PyYAML	*		Up to (excluding) 5.1.2-26.12.1