Amazon Linux 2023python3.13-filelock (ALAS2023-2026-1411)

medium Nessus 插件 ID 299516

语言：

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此，该软件受到 ALAS2023-2026-1411 公告中提及的多个漏洞影响。

filelock 是 Python 的平台无关文件锁定。在 3.20.1之前的版本中检查时间和使用时间 (TOCTOU) 争用条件允许本地攻击者通过符号链接攻击损坏或截断任意用户文件。Unix 和 Windows 锁定文件创建过程中存在此漏洞其中 filelock 在使用 O_TRUNC 打开文件之前会检查该文件是否存在。攻击者可在检查和打开文件之间的时间间隔中创建指向受害者文件的符号链接造成 os.open() 追踪该符号链接并截断目标文件。Unix、Linux、macOS 和 Windows 系统上的所有 filelock 用户都会受到影响。
漏洞级联到依赖的库。攻击需要具备本地文件系统访问权限并且能够创建 symlinkUnix 上为标准用户权限Windows 10+ 上为开发人员模式。当锁定文件路径可预测时漏洞利用 1-3 次尝试便可成功。已在版本 3.20.1中修复此问题。
如果无法立即升级请使用 SoftFileLock而不是 UnixFileLock/WindowsFileLock注意
不同的锁定语义可能不适用于所有用例确保锁定文件目录具有限制性权限 (chmod 0700) 以防止不受信任的用户创建符号链接和/或在运行受信任的应用程序之前，应监控可疑符号链接的锁定文件目录。这些变通方案仅提供部分缓解。争用条件仍然可被利用。强烈建议升级到版本 3.20.1 。 (CVE-2025-68146)

filelock 是 Python 的平台无关文件锁定。在低于版本 3.20.3的版本中filelock 程序包的 SoftFileLock 实现中存在一个 TOCTOU 争用条件漏洞。具备本地文件系统访问权限和创建符号链接权限的攻击者可利用权限验证与文件创建之间的争用条件造成锁定操作失败或表现为异常。漏洞出现在raise_on_not_writable_file()权限检查和 os.open()文件创建之间的 _acquire() 方法中。在此争用窗口期间攻击者可在锁定文件路径创建符号链接从而可能造成在非预期的目标文件上进行锁定操作或导致拒绝服务。已在版本 3.20.3 中修补此问题。(CVE-2026-22701)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。