dbt 允许通过 socketsocket 绑定到不受限制的 IP 地址 (CVE-2024-36105)

admin
admin
admin
0
文章
0
评论
2024-05-30 23:14:04 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
dbt 允许通过 socketsocket 绑定到不受限制的 IP 地址 (CVE-2024-36105)

CVE编号

CVE-2024-36105

利用情况

暂无

补丁情况

N/A

披露时间

2024-05-28
漏洞描述
dbt使数据分析师和工程师能够使用与软件工程师构建应用程序时相同的实践来转换他们的数据。在版本1.6.15、1.7.15和1.8.1之前,绑定到`INADDR_ANY(0.0.0.0)`或`IN6ADDR_ANY(::)`会在所有网络接口上暴露应用程序,增加未经授权访问的风险。如Python文档中所述,特殊地址形式被接受,而不是主机地址:`''`代表`INADDR_ANY`,等同于`"0.0.0.0"`。在具有IPv6的系统上,`''`代表`IN6ADDR_ANY`,相当于`"::"`。在不安全的公共网络上提供文档的用户,可能在同一网络上为任何远程用户/系统提供未加密的(http)网站而不知情。该问题已在dbt-core版本1.6.15、dbt-core版本1.7.15和dbt-core版本1.8.1中通过在`dbt docs serve`中默认显式绑定到本地主机来得到缓解。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://cwe.mitre.org/data/definitions/1327.html
https://docs.python.org/3/library/socket.html
https://docs.securesauce.dev/rules/PY030
https://github.com/dbt-labs/dbt-core/blob/main/core/dbt/task/docs/serve.py#L2...
https://github.com/dbt-labs/dbt-core/commit/0c08d7a19ad1740be3cb0b2e6d9d64f6537176f7
https://github.com/dbt-labs/dbt-core/issues/10209
https://github.com/dbt-labs/dbt-core/pull/10208
https://github.com/dbt-labs/dbt-core/releases/tag/v1.6.15
https://github.com/dbt-labs/dbt-core/releases/tag/v1.7.15
https://github.com/dbt-labs/dbt-core/releases/tag/v1.8.1
https://github.com/dbt-labs/dbt-core/security/advisories/GHSA-pmrx-695r-4349
CVSS3评分 5.3
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 无
  • 保密性 低
  • 完整性 无
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-29415利用情况 暂无补丁情况 N/A披露时间 2024-05-28漏洞描述The ip package throug
05-300 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0