漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-059187
漏洞标题:新浪saepythontip执行未使用沙箱机制导致代码泄露
相关厂商:新浪
漏洞作者: dramforever
提交时间:2014-05-02 17:49
修复时间:2014-05-04 09:10
公开时间:2014-05-04 09:10
漏洞类型:任意文件遍历/下载
危害等级:中
自评Rank:6
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-05-02: 细节已通知厂商并且等待厂商处理中
2014-05-04: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
在pythontip在线执行中可以获得程序源代码和程序配置
详细说明:
pythontip在线编程没有屏蔽os模块中的许多功能,也没有阻止open读取文件内容,导致源代码泄露;pythontip在线编程没有使用隔离的python程序导致可以使用sae模块读取程序配置。
漏洞证明:
在http://pythontip.sinaapp.com/coding/run运行:
输出当前目录下全部python脚本内容,截取一部分如下:
(以后略)
再运行
输出:(显然是连接信息。虽然sae防止外部连接到数据库,但可能可以通过在线编程读取到数据库)
修复方案:
pythontip事实上已经阻止了部分函数执行(比如os中的execlp不能用,而且没有fork),推荐加强这方面的防护,也推荐使用虚拟化技术来运行python程序。
版权声明:转载请注明来源 dramforever@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-05-04 09:10
厂商回复:
感谢关注新浪安全,该bug属于该应用问题,不是sae平台问题,故忽略处理
最新状态:
暂无