17.09.2021

Исправление критических ошибок в репозиториях Python PyPI

Python Package Index (PyPI) на прошлой неделе выпустили исправления для трех уязвимостей. Одна из которых может быть использована для выполнения произвольного кода и получения полного контроля.

Слабые места в системе безопасности обнаружил японский исследователь безопасности RyotaK. Который в прошлом обнаруживал критические уязвимости в репозитории Homebrew Cask и библиотеке Cloudflare CDNJS.

Список из трех уязвимостей выглядит следующим образом:

  • Уязвимость в механизмах удаления устаревшей документации, которая позволяет злоумышленнику удалить документацию для проектов, не находящихся под его контролем.
  • Уязвимость в удалении ролей в PyPI. Исследователь безопасности обнаружил уязвимость в механизмах удаления ролей в PyPI. Которая позволяет злоумышленнику удалять роли из проектов, не находящихся под их контролем.
  • Уязвимость в рабочем процессе GitHub Actions для PyPI. Эксплуатационная уязвимость в рабочем процессе GitHub Actions для исходного репозитория PyPI может позволить злоумышленнику получить разрешения на запись в репозиторий pypa.

Успешная эксплуатация уязвимостей может привести к произвольному удалению файлов документации проекта.

Более критическая ошибка связана с проблемой в рабочем процессе GitHub Actions для исходного репозитория PyPI с именем “comb-prs.yml”. В результате злоумышленник может получить разрешение на запись для основной ветви репозитория “pypa”, что может привести к выполнению вредоносного кода на pypi.org.

«Как я уже упоминал ранее, некоторые цепочки поставок имеют критические уязвимости. Однако, ограниченное число людей исследуют атаки на цепочки поставок, и большинство цепочек поставок не защищены должным образом. Поэтому я считаю, что необходимо активно способствовать повышению безопасности в цепочке поставок» – отмечает RyotaK.

А на этом сегодня все, надеюсь, данная статья будет вам полезна.
Хотелось бы выразить огромную благодарность тем, кто принимает активное участие в жизни и развитии журнала, огромное спасибо вам за это.
Журнал Cyber-X

Источник.