| Summary | An issue was found in CPython 3.12.0 `subprocess` module on POSIX platforms. The issue was fixed in CPython 3.12.1 and does not affect other stable releases. When using the `extra_groups=` parameter with an empty list as a value (ie `extra_groups=[]`) the logic regressed to not call `setgroups(0, NULL)` before calling `exec()`, thus not dropping the original processes' groups before starting the new process. There is no issue when the parameter isn't used or when any value is used besides an empty list. This issue only impacts CPython processes run with sufficient privilege to make the `setgroups` system call (typically `root`). |
|---|---|
| Publication Date | Dec. 9, 2023, 4:15 a.m. |
| Registration Date | Dec. 9, 2023, 10 a.m. |
| Last Update | Nov. 21, 2024, 5:43 p.m. |
| CVSS3.1 : MEDIUM | |
| スコア | 4.9 |
|---|---|
| Vector | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 高 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | なし |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:python:python:3.12.0:-:*:*:*:*:*:* | |||||
| cpe:2.3:a:python:python:3.13.0:alpha1:*:*:*:*:*:* | |||||
| cpe:2.3:a:python:python:3.13.0:alpha2:*:*:*:*:*:* | |||||
| Title | Python Software Foundation の Python における脆弱性 |
|---|---|
| Summary | Python Software Foundation の Python には、不特定の脆弱性が存在します。 |
| Possible impacts | 情報を改ざんされる可能性があります。 |
| Solution | ベンダアドバイザリまたはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| Publication Date | Dec. 8, 2023, midnight |
| Registration Date | Jan. 15, 2024, 10:37 a.m. |
| Last Update | Jan. 15, 2024, 10:37 a.m. |
| Python Software Foundation |
| Python 3.12.0 |
| Python 3.13.0 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2024年01月15日] 掲載 |
Jan. 15, 2024, 10:37 a.m. |