无意中将环境变量暴露给 sentry-sdk 中的子进程(CVE-2024-40647)

admin
admin
admin
0
文章
0
评论
2024-07-22 16:40:41 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
无意中将环境变量暴露给 sentry-sdk 中的子进程(CVE-2024-40647)

CVE编号

CVE-2024-40647

利用情况

暂无

补丁情况

N/A

披露时间

2024-07-19
漏洞描述
sentry-sdk 是 Sentry.io 的官方 Python SDK。在 Sentry 的 Python SDK 版本低于 2.8.0 时存在一个漏洞,该漏洞允许环境变量尽管设置了 `env={}` 也会被传递给子进程。在 Python 的 `subprocess` 调用中,所有环境变量默认都会传递给子进程。然而,如果你明确不想将它们传递给子进程,你可以在 `subprocess` 调用中使用 `env` 参数。由于 Sentry SDK 中的这个漏洞,当启用标准库集成(默认启用)时,这一期望无法实现,所有环境变量都会被传递给子进程。这个问题已在拉取请求 #3251 中得到修复,并包含在 sentry-sdk==2.8.0 中。我们强烈建议升级到最新的 SDK 版本。然而,如果不可能升级,并且向子进程传递环境变量对你的安全构成风险,你可以禁用所有默认集成。
解决建议
"将组件 sentry-sdk 升级至 2.8.0 及以上版本"
参考链接
https://docs.python.org/3/library/subprocess.html
https://docs.sentry.io/platforms/python/integrations/default-integrations
https://docs.sentry.io/platforms/python/integrations/default-integrations/#stdlib
https://github.com/getsentry/sentry-python/commit/763e40aa4cb57ecced467f48f78...
https://github.com/getsentry/sentry-python/pull/3251
https://github.com/getsentry/sentry-python/releases/tag/2.8.0
https://github.com/getsentry/sentry-python/security/advisories/GHSA-g92j-qhmh-64v2
CVSS3评分 5.3
  • 攻击路径 本地
  • 攻击复杂度 高
  • 权限要求 高
  • 影响范围 已更改
  • 用户交互 无
  • 可用性 无
  • 保密性 高
  • 完整性 无
CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:N
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0