修复状态文件权限不当导致的信息泄露（CVE相关）

[security] fix(state): restrict sensitive store file permissions #30917 漏洞概述 该漏洞涉及两个敏感状态文件（ 和 ）的权限设置不当，导致本地用户或进程可以读取这些文件中的敏感信息。 影响范围 动态 Webhook HMAC 密钥：可以被具有相同主机本地用户/进程访问权限的用户读取。 Responses API 状态：可以被具有相同主机本地用户/进程访问权限的用户读取。 修复方案 1. Webhook 订阅文件： - 使用仅所有者权限的临时文件，并在原子替换后强制最终 文件的权限为 。 2. Responses API 状态文件： - 在打开/创建后立即强制 的仅所有者权限。 - 在 WAL 设置和后续可能创建或触摸侧边文件的提交后，应用仅所有者权限。 3. 回归测试： - 添加回归测试以验证创建和权限缩小行为。 代码变更 Webhook 订阅文件： Responses API 状态文件： 安全影响 CVSS 评分：5.5（中等） 攻击向量：本地未认证访问 影响：机密性影响高，因为文件可能包含 Webhook HMAC 密钥或对话/工具输出状态。 复现步骤 1. Webhook 订阅文件： - 运行动态订阅保存路径，使用 。 - 持久化包含虚拟 HMAC 密钥的订阅。 - 观察漏洞代码可以创建 文件，权限为 ，而修复后权限为 。 2. Responses API 状态文件： - 运行 ，使用 。 - 存储包含标记的虚拟响应对象。 - 观察漏洞代码可以创建 文件，权限为 ，而修复后权限为 。 预期行为 Webhook 订阅文件： - 创建时权限为 ，但包含路由 HMAC 密钥。 - 创建时权限为 ，但包含存储的响应和对话/工具输出状态。 Responses API 状态文件： - 创建时权限为 ，但包含存储的响应和对话/工具输出状态。 修复后的行为 Webhook 订阅文件： - 创建时权限为 ，并包含路由 HMAC 密钥。 - 创建时权限为 ，并包含存储的响应和对话/工具输出状态。 Responses API 状态文件： - 创建时权限为 ，并包含存储的响应和对话/工具输出状态。 维护者影响 补丁仅限于敏感状态文件创建/更新行为和回归测试。 不更改路由语义、HMAC 验证语义、Responses API 请求/响应行为或存储数据语义。 现有可读文件在受影响存储保存/打开时机会性地缩小权限。 正常单用户安装应看到行为变化，仅其他更严格的本地文件模式。 修复理由 敏感状态不应依赖于操作者的环境 umask 以保护机密性。 仅所有者权限匹配配置文件级 Hermes 密钥和对话状态的预期隐私边界。 重新应用权限以处理初始 调用后可能创建的侧边文件。 聚焦的 umask 测试锁定在确切的失败模式，无需完整的网关运行时。 变更类型 安全修复 测试 测试计划 聚焦的 测试通过。 Webhook 订阅 CLI 测试通过。 触摸的 Python 文件编译。 差异空白检查通过。 完整回归套件未在本地运行；PR CI 应覆盖更广泛的矩阵。 披露说明 该 PR 仅限于两个敏感状态文件的本地文件系统模式加固。 不声称未认证远程访问这些文件。 不更改 Webhook HMAC 验证、Responses API 状态语义或数据库加密行为。 不需要生产端点、真实密钥或私有本地路径用于回归测试。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

修复状态文件权限不当导致的信息泄露（CVE相关）

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

修复状态文件权限不当导致的信息泄露（CVE相关）

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！