CPythonの脆弱性(Important: CVE-2024-8088)

08/25/2024にCPythonの脆弱性(Important: CVE-2024-8088)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

[過去関連リンク(最新5件)]

CVSS/プライオリティ

• CVE-2024-8088
  • 影響するバージョン
    • CPython < 3.13.0
      
  • 一次情報源
    • [CVE-2024-8088] Infinite loop when iterating over zip archive entry names
      
  • Priority
    • CVSS Score / CVSS Vector
      • Vendor: Vendor: 8.7 High
        
      • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/S:N/AU:N/R:U/RE:L

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-8088
  • 繰り返し圧縮されたアーカイブエントリー名がZipfile.Pathに来た際に無限ループが発生する
  • Cpythonの”zipfile”モジュールに”zipfile.Path”に影響する脆弱性が見つかりました。より一般的なAPIの”zipfile.ZipFile”クラスには影響しないことに注意してください。zip アーカイブ内のエントリ名を反復処理する場合 (たとえば、”namelist()”、”iterdir()”などの”zipfile.Path”のメソッド)、悪意を持って作成されたzipアーカイブによってプロセスが無限ループに陥る可能性があります。この問題は、メタデータの読み取りやzipアーカイブの抽出時に発生します。ユーザ制御のzipアーカイブを処理していないプログラムは影響を受けません。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2024-8088
• Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
  • https://access.redhat.com/security/cve/CVE-2024-8088
• Ubuntu
  • https://ubuntu.com/security/CVE-2024-8088
• SUSE/openSUSE
  • https://www.suse.com/security/cve/CVE-2024-8088.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

• [CVE-2024-8088] Infinite loop when iterating over zip archive entry names