Vulnerabilidad en b2-sdk-python (CVE-2022-23651)

b2-sdk-python es una biblioteca python para acceder al almacenamiento en la nube proporcionado por backblaze. Las versiones para Linux y Mac del SDK versión 1.14.0 y anteriores contienen una vulnerabilidad de divulgación de claves que, en determinadas condiciones, puede ser explotada por atacantes locales a mediante una condición de carrera de tiempo de comprobación (TOCTOU). Los usuarios del SDK del formato SqliteAccountInfo son vulnerables mientras que usuarios del formato InMemoryAccountInfo están a salvo. El formato SqliteAccountInfo guarda las claves de la API (y el mapeo de nombres de cubos a identificadores) en un archivo de base de datos local ($XDG_CONFIG_HOME/b2/account_info, ~/.b2_account_info o una ruta definida por el usuario). Cuando es creado por primera vez, el archivo es legible para todo el mundo y es (normalmente unos pocos milisegundos) alterado más tarde para ser privado para el usuario. Si el directorio que contiene el archivo es legible por un atacante local, entonces durante el breve período entre la creación del archivo y la modificación de los permisos, un atacante local puede correr para abrir el archivo y mantener un manejo a él. Esto permite al atacante local leer el contenido del archivo después de que la información confidencial haya sido guardado en él. Los consumidores de este SDK que confíen en él para guardar datos usando la clase SqliteAccountInfo deberían actualizar a la última versión del SDK. Aquellos que crean que un usuario local puede haber abierto una cuenta usando esta condición de carrera, deberían eliminar los archivos de base de datos afectados y regenerar todas las claves de la aplicación. Los usuarios deben actualizar a b2-sdk-python versión 1.14.1 o posterior