PT-2022-16860 · Unknown+4 · Jupyter Notebook+4

3Coins

·

Publicado

2022-03-31

·

Atualizado

2024-03-06

·

CVE-2022-24758

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Jupyter Notebook anteriores à 6.4.9
Descrição
O Jupyter Notebook é um ambiente de notebook baseado na web para computação interativa. Antes da versão 6.4.9, agentes não autorizados podem acessar informações confidenciais a partir dos logs do servidor. Sempre que um erro 5xx é acionado, o cookie de autenticação e outros valores de cabeçalho são registrados nos logs do servidor Jupyter por padrão. Considerando que esses logs não exigem acesso de root, um invasor pode monitorá-los, roubar informações confidenciais de autenticação/cookies e obter acesso ao servidor Jupyter.
Recomendações
Atualize para a versão 6.4.10 ou posterior do notebook. Como solução alternativa temporária, considere restringir o acesso aos logs do servidor Jupyter para minimizar o risco de exploração.

Exploit

Correção

Insertion into Log File

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-532

Identificadores relacionados

ALT-PU-2022-2266
BIT-JUPYTER-BASE-NOTEBOOK-2022-24758
BIT-JUPYTER-NOTEBOOK-2022-24758
CVE-2022-24758
GHSA-M87F-39Q9-6F55
MGASA-2022-0323
PYSEC-2022-180
USN-5585-1

Produtos afetados

Alt Linux
Debian
Jupyter Notebook
Linuxmint
Ubuntu