Jupyter 信息泄露漏洞（CVE-2022-24757）

Jupyter是一个使用广泛的高效的Python语言编程工具。还可以说是一个 Python 编程语言、以及更多其他编程语言的，交互式集成开发环境。对于Jupyter比较突出的优点，就是写程序的界面和运行程序的界面是在同一个界面。调试完程序就可以直接看结果，极高的提高了编写程序的效率。
近期，Jupyter被公布出存在信息泄露漏洞。在默认情况下，每当触发5xx错误时，auth、cookie和其他值都会被记录在Jupyter服务器的日志中。因为这些日志不需要根访问的权限，攻击者可以监视这些日志，窃取敏感的身份验证或者cookie信息，甚至获得对Jupyter服务器的访问权限。

攻击者可利用 Jupyter Server 日志不需要root访问权限，通过监控日志窃取敏感的auth/cookie 信息，从而导致信息泄露。
针对企业，如果企业内部重要数据比如客户资料或企业机密文件等信息泄露的话，可能会影响企业的发展、动摇企业的根基，很有可能会退出市场。针对个人，如果用户信息通过Jupyter 信息泄露漏洞，可能会使公民的个人信息被泄露，进而收到恶意的垃圾短信、骚扰电话，甚至可以溯源出用户完整信息，利用用户信息进行违法犯罪活动。例如：挂失银行账户，补办银行卡后重置密码，盗取钱财。

Jupyter Server version < 1.15.4

   高危

厂商已发布升级修复漏洞，用户请尽快更新至升级至Jupyter服务器1.15.4版，此为安全版本。
引用：https://github.com/jupyter-server/jupyter_server/security/advisories/GHSA-p737-p57g-4cpr