Errata ALT-PU-2020-3106-2: Информация
Имя пакета: python-module-jinja2
Версия: 2.11.2-alt1
Бюллетень изменен: 5 апреля 2024 г.
Задание: #254838
Исправления
Опубликовано: 15 февраля 2019 г.
BDU:2019-01179
Уязвимость функции from_string шаблонизатора Jinja2 для языка программирования Python, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации
Важность: HIGH (8,2) Вектор: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
Ссылки:
Опубликовано: 19 мая 2014 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2014-0012
FileSystemBytecodeCache in Jinja2 2.7.2 does not properly create temporary directories, which allows local users to gain privileges by pre-creating a temporary directory with a user's uid. NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-1402.
Важность: MEDIUM (4,4)
Ссылки:
Опубликовано: 19 мая 2014 г.
Изменено: 22 декабря 2017 г.
Изменено: 22 декабря 2017 г.
CVE-2014-1402
The default configuration for bccache.FileSystemBytecodeCache in Jinja2 before 2.7.2 does not properly create temporary files, which allows local users to gain privileges via a crafted .cache file with a name starting with __jinja2_ in /tmp.
Важность: MEDIUM (4,4)
Ссылки:
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=734747
- http://advisories.mageia.org/MGASA-2014-0028.html
- http://jinja.pocoo.org/docs/changelog/
- [oss-security] 20140110 Re: CVE Request: python-jinja2: arbitrary code execution vulnerability
- https://bugzilla.redhat.com/show_bug.cgi?id=1051421
- MDVSA-2014:096
- [oss-security] 20140110 CVE Request: python-jinja2: arbitrary code execution vulnerability
- 59017
- 58918
- 60770
- 60738
- 56287
- GLSA-201408-13
- [El-errata] 20140611 Oracle Linux Security Advisory ELSA-2014-0747
- 58783
- RHSA-2014:0748
- RHSA-2014:0747
Опубликовано: 7 апреля 2019 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2019-10906
In Pallets Jinja before 2.10.1, str.format_map allows a sandbox escape.
Важность: HIGH (8,6) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Ссылки:
- https://palletsprojects.com/blog/jinja-2-10-1-released
- RHSA-2019:1152
- openSUSE-SU-2019:1395
- RHSA-2019:1237
- RHSA-2019:1329
- USN-4011-1
- USN-4011-2
- openSUSE-SU-2019:1614
- [infra-devnull] 20190410 [GitHub] [airflow] XD-DENG opened pull request #5075: [AIRFLOW-XXX] Change allowed version of Jinja2 to fix CVE-2019-10906
- [airflow-commits] 20190410 [GitHub] [airflow] XD-DENG opened a new pull request #5075: [AIRFLOW-XXX] Change allowed version of Jinja2 to fix CVE-2019-10906
- [airflow-commits] 20190410 [GitHub] [airflow] XD-DENG commented on issue #5075: [AIRFLOW-XXX] Change allowed version of Jinja2 to fix CVE-2019-10906
- [airflow-commits] 20190410 [GitHub] [airflow] ashb commented on issue #5075: [AIRFLOW-XXX] Change allowed version of Jinja2 to fix CVE-2019-10906
- [infra-devnull] 20190410 [GitHub] [airflow] XD-DENG commented on issue #5075: [AIRFLOW-XXX] Change allowed version of Jinja2 to fix CVE-2019-10906
- [infra-devnull] 20190410 [GitHub] [airflow] ashb commented on issue #5075: [AIRFLOW-XXX] Change allowed version of Jinja2 to fix CVE-2019-10906
- [airflow-commits] 20190410 [GitHub] [airflow] ashb merged pull request #5075: [AIRFLOW-XXX] Change allowed version of Jinja2 to fix CVE-2019-10906
- [infra-devnull] 20190410 [GitHub] [airflow] ashb closed pull request #5075: [AIRFLOW-XXX] Change allowed version of Jinja2 to fix CVE-2019-10906
- FEDORA-2019-4f978cacb4
- FEDORA-2019-e41e19457b
- FEDORA-2019-04a42e480b
Опубликовано: 15 февраля 2019 г.
Изменено: 17 мая 2024 г.
Изменено: 17 мая 2024 г.
CVE-2019-8341
An issue was discovered in Jinja2 2.10. The from_string function is prone to Server Side Template Injection (SSTI) where it takes the "source" parameter as a template object, renders it, and then returns it. The attacker can exploit it with {{INJECTION COMMANDS}} in a URI. NOTE: The maintainer and multiple third parties believe that this vulnerability isn't valid because users shouldn't use untrusted templates without sandboxing
Важность: CRITICAL (9,8) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Ссылки: