Ooolap

**Nome do software vulnerável e versões afetadas** Ferramenta de linha de comando B2, versões 3.2.0 e anteriores **Descrição** A ferramenta de linha de comando B2 contém uma vulnerabilidade de divulgação de chaves que pode ser explorada por invasores locais por meio de uma condição de corrida do tipo “time-of-check-time-of-use” (TOCTOU). A ferramenta salva chaves de API em um arquivo de banco de dados local (`$XDG CONFIG HOME/b2/account info`, `~/.b2 account info` ou um caminho definido pelo usuário) quando o comando `b2 authorize-account` é executado pela primeira vez. O arquivo é inicialmente legível por todos e posteriormente alterado para ser privado ao usuário, permitindo que um invasor local leia o conteúdo durante o breve período entre a criação do arquivo e a modificação da permissão. **Recomendações** Para usuários que ainda não executaram o `b2 authorize-account`, atualize para a Ferramenta de Linha de Comando B2 v3.2.1 antes de executá-lo. Para usuários que executaram o `b2 authorize-account` e o caminho designado pode ser aberto por outro usuário local, atualize para a Ferramenta de Linha de Comando B2 v3.2.1, remova o banco de dados e gere novamente todas as chaves do aplicativo. Se a Ferramenta de Linha de Comando B2 não puder ser atualizada para a v3.2.1 devido a um conflito de dependências, use uma versão binária, instale uma nova versão dentro de um virtualenv ou altere as permissões para impedir que usuários locais abram o arquivo de banco de dados.