Python の脆弱性情報(Importabt: CVE-2022-42919)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

11/07/2022にPython の脆弱性情報(Importabt: CVE-2022-42919)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。




CVSS/プライオリティ

CVE番号 影響するバージョン リファレンス Priority CVSS3 Base Score CVSS3 Basic Metrics
CVE-2022-42919 Python 3.9, 3.10, 3.11.0rc2

Linux specific local privilege escalation via the multiprocessing forkserver start method - CVE-2022-42919

Red Hat: 9.3

Red Hat: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42919
    • Linux上での権限昇格の可能性
    • Pythonのmultiprocessingライブラリで、Linux上でforkserverスタートメソッドが使われている場合、同じマシンのローカルネットワーク名前空間上の任意のユーザがPythonのpicklesを逆シリアライゼーション化できます。多くのシステムの設定では、同じマシン上の全てのユーザが可能です。Picklesは任意のコードを実行できます。従って、任意のローカルユーザがPython multiprocessingでforkserverを用いているプロセスが実行されているのであれば、権限を昇格することが可能です。

      forkserverスタートメソッドはデフォルトのスタート方法ではありません。この問題はLinuxに限定された問題になります。

      Python 3.7, 3.8に関しては問題は発生しません。
    • 回避方法:Pythonのアプリケーションやライブラリコード上で
      
      import multiprocessing.util
      multiprocessing.util.abstract_sockets_supported = False
      
      を行うことで、デフォルトでの仕様をFalseにすることが出来ます。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

日々のメモを更新しています。

セキュリティ関係ニュースを更新しています。個別で情報出せるようになる前の簡単な情報・リンクなんかも載せていきます。

前へ

Linux Kernelの脆弱性(CVE-2022-43945)