Vulnerabilidad en B2 Command Line Tool (CVE-2022-23653)

B2 Command Line Tool es la herramienta oficial de línea de comandos para el servicio de almacenamiento en la nube de Backblaze. Las versiones para Linux y Mac de la herramienta de línea de comandos B2, versión 3.2.0 y anteriores, contienen una vulnerabilidad de divulgación de claves que, en determinadas condiciones, puede ser explotada por atacantes locales mediante una condición de carrera de tiempo de comprobación de uso (TOCTOU). La herramienta de línea de comandos guarda las claves de la API (y el mapeo de nombres de cubos a identificadores) en un archivo de base de datos local ("$XDG_CONFIG_HOME/b2/account_info", "~/.b2_account_info" o una ruta definida por el usuario) cuando es ejecutado "b2 authorize-account" por primera vez. Esto ocurre independientemente de si es proporcionada una clave válida o no. Cuando es creado por primera vez, el archivo es legible para todo el mundo y más tarde (normalmente unos milisegundos) es alterada para que sea privado para el usuario. Si el directorio es legible por un atacante local y el usuario aún no ha ejecutado "b2 authorize-account", entonces durante el breve período entre la creación del archivo y la modificación del permiso, un atacante local puede correr para abrir el archivo y mantener un manejo del mismo. Esto permite al atacante local leer el contenido después del archivo una vez que la información confidencial ha sido guardada en él. Los usuarios que aún no hayan ejecutado "b2 authorize-account" deberían actualizar a B2 Command Line Tool versión v3.2.1 antes de ejecutarla. Los usuarios que han ejecutado "b2 authorize-account" están seguros si en el momento de la creación del archivo ningún otro usuario local tenía acceso de lectura al archivo de configuración local. Los usuarios que hayan ejecutado "b2 authorize-account" cuando la ruta designada pueda ser abierta por otro usuario local deben actualizar a B2 Command-Line Tool versión v3.2.1 y eliminar la base de datos y regenerar todas las claves de aplicación. Tenga en cuenta que "b2 clear-account" no elimina el archivo de la base de datos y no debe usarse para asegurar que todos los manejadores abiertos al archivo sean invalidados. Si la herramienta de línea de comandos B2 no puede actualizarse a versión 3.2.1 debido a un conflicto de dependencias, puede usarse una versión binaria en su lugar. También puede instalarse una nueva versión dentro de un virtualenv, o pueden cambiarse los permisos para evitar que usuarios locales abran el archivo de la base de datos