发布日期：2014-09-04
更新日期：2014-09-05

受影响系统：

S3QL S3QL < 2.11
S3QL S3QL < 1.19

描述：

---

CVE(CAN) ID: CVE-2014-0485

S3QL是在线数据存储文件系统。

S3QL 1.19、2.11之前版本在实现上存在安全漏洞，s3ql/backends/common.py及s3ql/backends/local.py在 "lookup()", "open_read()", "_unwrap_meta()" 方法内使用了用户可以控制输入的 "pickle.loads()" 方法，这可导致反序列化任意Python对象，并执行Python代码。

<*来源：vendor
  *>

建议：

---

厂商补丁：

S3QL
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.openwall.com/lists/oss-security/2014/08/28/3
http://www.debian.org/security/2014/dsa-3013
https://bitbucket.org/nikratio/s3ql/commits/091ac263809b4e8

浏览次数：2346
严重程度：0（网友投票）