د PyPI ذخیره احتمالي ناامنه کوډ لري

د تورکو پوهنتون څیړونکي (فینلینډ) پېژندل شوی په دې وروستیو کې د تحلیل پایلې دوی په ذخیره کې کڅوړو ته وکړل د PyPI لخوا د احتمالي خطرناک ساختمانونو کارولو لپاره چې کولی شي زیانونه رامینځته کړي. په تحلیل کې دا شاوخوا 197.000،749.000 کڅوړې ترسره شوې او XNUMX،XNUMX احتمالي امنیتي ستونزې په ګوته شوې.

په بل عبارت ، 46 packages کڅوړې لږترلږه یو له دې ستونزو څخه لري ، چې له دې څخه خورا عام ستونزې هغه دي چې د استثنااتو اداره کولو او د کوډ بدیل وړتیاو کارولو پورې اړوند دي.

د 749 زره ستونزو په ګوته کولو کې ، 442 زره (41)) د کوچنیانو په توګه په نښه شوي، 227 زره (30)) د معتدل خطرناک په توګه او 80 زره (11)) د خطرناک په توګه.

د ډیټسیټ د Python Package Index (PyPI) کې زیرمه شوي ټولو کڅوړو د سنیپ شاټ پراساس دی ...

د ستونزو ډولونو شرایطو کې ، لکه د استثنا اداره کول او د مختلف کوډ انجیکشنونه خورا عام ستونزې وې. پدې معنی ، د تارونو ماډل ولاړ دی. په عمومي ډول د کوچني پاکټ اندازو منعکس کول ، د سافټویر اندازې میتریکونه د تحلیل له لارې څرګند شوي مسلو شمیر ښه وړاندوینه نه کوي. 

ځینې ​​کڅوړې له عادي څخه بهر دي او په زرهاو ستونزې لري: د مثال په توګه ، د PyGGI کڅوړه کې 2589 ستونزې وموندل شوې ، په عمده ډول د "آزموینې پرته پاس" جوړونې کارولو پورې اړه لري ، او 2356 ستونزې په appengine-sdk بسته کې وموندل شوې. په genie.libs.ops ، pbcore ، او genie.libs.parser کڅوړو کې هم ډیری ستونزې شتون لري.

دا باید په پام کې ونیول شي چې پایلې د اتومات جامد تحلیل پراساس ترلاسه شوي ، کوم چې د ځینې جوړښتونو غوښتنلیک شرایط په پام کې نه نیسي.

د بانډیټ پراختیا کونکي ، څوک چې د کوډ سکین کولو لپاره کارول شوی و ، وړاندیز وکړ دا د لوی شمیر غلط مثبتیتونو له امله ، lد سکین پایلې زیانونه نشي ګل کیدی مستقیم د هرې ستونزې اضافي لارښود بیاکتنې پرته.

د مثال په توګه ، پارسر د نه باور وړ تصادفي شمیره جنراتورونو کارول او د هاشینګ الګوریتمونه لکه MD5 د امنیت اندیښنې په توګه په پام کې نیسي ، پداسې حال کې چې په کوډ کې دا ډول الګوریتمونه د هغو موخو لپاره کارول کیدی شي چې امنیت اغیزه نه کوي.

تحلیل کونکی دا هم په پام کې نیسي چې د هرډول بهرني معلوماتو پروسس کول په ناامنه فعالیتونو کې لکه اچار ، yaml.load ، فرعي پروسس او ایول دا یوه ستونزه ده، مګر دا کارول اړین ندي د زیان مننې سره تړاو ولري او په حقیقت کې ، د دې دندو کارول یوه ستونزه کیدی شي پرته له امنیتي ګواښ سره پلي شي.

په کنټرول کې کارول شوي مطالعې کې:

  • د احتمالي غیر محفوظ افعالو کارول اجرا ، mktemp ، eval ، mark_safe ، او نور.
  • د فایل لاسرسي حقونو غیر خوندي ترتیب.
  • د شبکې پلګ د ټولو شبکې انٹرفیسونو سره وصل کړئ.
  • د رمزونو او کوډ شوي کیلو کارول.
  • د دمخه ټاکل شوي لنډمهاله لارښود کارول.
  • د پاس کارول او د کیچ-ټول سټایل استثنایی اداره کونکو ته دوام ورکول.
  • د ډیبګینګ حالت فعالولو سره د فلاسک ویب چوکاټ پراساس ویب غوښتنلیکونه لانچ کړئ.
  • د معلوماتو سپړلو لپاره د ناامنه میتودونو کارول.
  • د MD2 ، MD4 ، MD5 او SHA1 هش افعال کارول.
  • د نا امنه DES سیفرونو او کوډ کولو حالتونو کارول.
  • د Python ځینې نسخو کې د نا امنه HTTPSConnection پلي کولو کارول.
  • په urlopen کې د فایل مشخص کول: // سکیما.
  • کله چې د کریپټوګرافیک دندو ترسره کول د سیډو-تصادفي شمیره جنراتورونه وکاروئ.
  • د ټیلنیټ پروتوکول کارول.
  • د نا امنه XML پارسرونو کارول.

سربیره پردې ، د PyPI لارښود کې د 8 ناوړه کڅوړو کشف یادونه شوې. د ستونزې کڅوړې د لرې کولو دمخه 30،64 ځله ډیر ډاونلوډ شوي. د ناوړه فعالیت پټولو او په کڅوړو کې د ساده جامد پارسر اخطارونو مخنیوي لپاره ، موږ د BaseXNUMX ب usingه په کارولو سره د کوډ سره د بلاک کوډینګ کارولی او د ایول په زنګ وهلو سره د کوډ کولو وروسته یې اجرا کول.

په نوبل ، جینیس بوټ کې موندل شوی کوډ ، suff ، noblesse2 او noblessev2 کڅوړې دي چې د کروم او ایج براوزرونو کې زیرمه شوي کریډیټ کارت شمیرو او پاسورډونو مخه ونیسي ، په بیله بیا د ډیسکورډ غوښتنلیک څخه د حساب توکیو لیږدول او له سیسټم څخه ډیټا لیږل ، په شمول د سکرین شاټونه د سکرین مینځپانګې. د پیټاګورا او پیټاګورا 2 کڅوړو کې د دریمې ډلې اجرا وړ کوډ ډاونلوډ او چلولو وړتیا شامله وه.

وروستی که تاسو د دې په اړه د نورو پوهیدو سره علاقه لرئ، تاسو کولی شئ توضیحات وګورئ په لاندې لینک کې


د مقالې مینځپانګه زموږ د اصولو سره سمون لري ایډیټیک اخلاق. د غلطۍ راپور ورکولو لپاره کلیک وکړئ دلته.

لومړی د تبصره کولو لپاره وئ

خپله نظر پرېږدئ

ستاسو د بریښنا لیک پته به خپره نه شي. اړین برخو سره په نښه شوي دي *

*

*

  1. د معلوماتو لپاره مسؤل: میګیوانجل ګاتین
  2. د معلوماتو هدف: د سپیم کنټرول ، د نظر مدیریت.
  3. قانونیت: ستاسو رضایت
  4. د معلوماتو راټولول: معلومات به د قانوني مکلفیت پرته دریمې ډلې ته نه لیږدول کیږي.
  5. د معلوماتو ذخیره: ډیټابیس د Occentus شبکې (EU) لخوا کوربه شوی
  6. حقونه: په هر وخت کې تاسو کولی شئ خپل معلومات محدود ، له سره تنظیم او حذف کړئ.