Amazon Linux 2023python3.13-filelockALAS2023-2026-1411]

medium Nessus プラグイン ID 299516

Language:

概要

リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2023-2026-1411 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

filelock は、Python 用のプラットフォームに依存するファイルロックです。 3.20.1より前のバージョンでは、Time-of-Check-Time-of-UseTOCTOUの競合状態により、ローカルの攻撃者が、シンボリックリンク攻撃を通じて、任意のユーザーファイルを破損または切り捨てることが可能です。filelockがO_TRUNCでファイルが存在するかどうかをチェックする場合、UnixとWindowsの両方のロックファイル作成に脆弱性があります。攻撃者は、チェックとオープンの間の時間ギャップで被害者のファイルを指し示すシンボリックリンクを作成し、os.open() にシンボリックリンクに従い、ターゲットファイルを切り捨てさせる可能性があります。Unix、Linux、macOS、Windowsシステムのfilelockのすべてのユーザーが影響を受けます。
この脆弱性は、依存するライブラリに連鎖します。攻撃には、ローカルファイルシステムへのアクセス権と、シンボリックリンクを作成する能力が必要です (Unix では標準ユーザー権限、Windows 10+ では開発モード)。ロックファイルのパスが予測可能な場合、悪用は 13 内の試行で成功します。この問題は、バージョン 3.20.1で修正されています。
早急なアップグレードが不可能な場合は、UnixFileLock/WindowsFileLock の代わりに SoftFileLock を使用してください注意
すべての使用例に適しているとは限りません)ロックファイルディレクトリに制限のある権限chmod 0700を持たせ、信頼できないユーザーがシンボリックリンクを作成することを防ぎます。やは、信頼できるアプリケーションを実行する前に、疑わしいシンボリックリンクがないかファイルディレクトリを監視します。これらの回避策は、部分的な緩和策のみを提供します。競合状態は依然として悪用される可能性があります。バージョン 3.20.1 へのアップグレードが強く推奨されます。CVE-2025-68146

filelock は、Python 用のプラットフォームに依存するファイルロックです。バージョン 3.20.3より前では、filelock パッケージの SoftFileLock の実装に、TOCTOU 競合状態の脆弱性が存在します。ローカルファイルシステムへのアクセス権とシンボリックリンクを作成する権限を持つ攻撃者が権限検証とファイル作成の競合状態を悪用し、ロック操作を失敗させたり、予期しない動作をさせたりする可能性があります。脆弱性は、raise_on_not_writable_file()権限チェックとos.open()ファイル作成の間の_acquire()メソッドで発生します。この競合ウィンドウ中に、攻撃者はロックファイルパスにシンボリックリンクを作成し、意図しないターゲットファイルでロックを操作したり、サービス拒否を引き起こしたりする可能性があります。この問題には、バージョン 3.20.3 でパッチが適用されています。(CVE-2026-22701)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

「dnf update python3.13-filelock --releasever 2023.10.20260216」または「dnf update --advisory ALAS2023-2026-1411 --releasever 2023.10.20260216」を実行して、お使いのシステムを更新してください。