Python ライブラリ jupyter_core < 5.8.0 制御されていない検索パス

high Nessus プラグイン ID 237906

Language:

概要

リモート Windows ホストにインストールされている Python ライブラリは、制御されない検索パスの脆弱性に影響を受けます。

説明

検出された Python パッケージ、jupyter_core のバージョンは、5.8.0 より前です。したがって、GHSA-33p9-3p43-82vq のアドバイザリに記載されている脆弱性の影響を受けます。Jupyter Core は、Jupyter プロジェクトのコア共通機能のパッケージです。Windows でバージョン 5.8.0 より前の Jupyter Core を使用する場合、共有されている「%PROGRAMDATA%」ディレクトリが設定ファイル「SYSTEM_CONFIG_PATH」および「SYSTEM_JUPYTER_PATH」を検索します。これにより、ユーザーが他のユーザーに影響する設定ファイルを作成できる可能性があります。複数のユーザーと共有されている、保護されていない「%PROGRAMDATA%」の Windows システムのみが影響を受けます。ユーザーは、Jupyter Core バージョン 5.8.0 以降にアップグレードしてパッチを受け取る必要があります。いくつかの他の緩和策が利用可能です。管理者として、「%PROGRAMDATA%」ディレクトリのアクセス許可を変更し、権限のないユーザーが書き込みできないようにします。または管理者として、適切に制限されたアクセス許可で、「%PROGRAMDATA%\jupyter」ディレクトリを作成します。またはユーザー/管理者として、適切に制限されたアクセス許可 (例: 管理者または現在のユーザーによる制御) で「%PROGRAMDATA%」環境変数をディレクトリに設定します。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。