CVE-2022-23653

Ferramenta de linha de comando B2, versões 3.2.0 e anteriores

A ferramenta de linha de comando B2 contém uma vulnerabilidade de divulgação de chaves que pode ser explorada por invasores locais por meio de uma condição de corrida do tipo “time-of-check-time-of-use” (TOCTOU). A ferramenta salva chaves de API em um arquivo de banco de dados local ($XDG CONFIG HOME/b2/account info, ~/.b2 account info ou um caminho definido pelo usuário) quando o comando b2 authorize-account é executado pela primeira vez. O arquivo é inicialmente legível por todos e posteriormente alterado para ser privado ao usuário, permitindo que um invasor local leia o conteúdo durante o breve período entre a criação do arquivo e a modificação da permissão.

Para usuários que ainda não executaram o b2 authorize-account, atualize para a Ferramenta de Linha de Comando B2 v3.2.1 antes de executá-lo.

Para usuários que executaram o b2 authorize-account e o caminho designado pode ser aberto por outro usuário local, atualize para a Ferramenta de Linha de Comando B2 v3.2.1, remova o banco de dados e gere novamente todas as chaves do aplicativo.

Se a Ferramenta de Linha de Comando B2 não puder ser atualizada para a v3.2.1 devido a um conflito de dependências, use uma versão binária, instale uma nova versão dentro de um virtualenv ou altere as permissões para impedir que usuários locais abram o arquivo de banco de dados.