Python软件包Yamale爆代码执行漏洞,超200个项目受影响

代码执行错误会影响Yamale Python包 - 由200多个项目使用

23andMe 的 Yamale(一种 YAML 架构和验证器)中披露了一个高严重性代码注入漏洞,攻击者可以利用该漏洞执行任意 Python 代码。

根据网络安全行业门户极牛网GEEKNB.COM的梳理,该漏洞被跟踪为CVE-2021-38305(CVSS 分数:7.8),涉及操纵作为工具输入提供的架构文件以规避保护并实现代码执行。特别是,问题在于模式解析函数,它允许评估和执行传递的任何输入,导致模式中特制的字符串可能被滥用以注入系统命令。

Yamale 是一个 Python 包,它允许开发人员从命令行验证 YAML(一种通常用于编写配置文件的数据序列化语言)。该软件包被GitHub 上至少224 个存储库使用。

JFrog Security 首席技术官 Asaf Karas 在给 The Hacker News 的电子邮件声明中说:“这个漏洞允许攻击者提供输入模式文件来执行 Python 代码注入,从而导致使用 Yamale 进程的特权执行代码。” “我们建议对任何进入eval() 的输入进行广泛的清理,最好是用您的任务所需的更具体的 API 替换 eval() 调用。”

经过负责任的披露,该问题已在Yamale 版本 3.0.8 中得到纠正。“此版本修复了一个错误,即格式良好的模式文件可以在运行 Yamale 的系统上执行任意代码,” Yamale 的维护人员在 8 月 4 日发布的发行说明中指出。

这些发现是 JFrog 在 Python 包中发现的一系列安全问题中的最新一个。2021 年 6 月,Vdoo在 PyPi 存储库中披露了盗用包,发现这些包会下载和执行第三方加密矿工,例如 T-Rex、ubqminer 或 PhoenixMiner,以便在受感染的系统上挖掘以太坊和 Ubiq。

随后,JFrog 安全团队发现了另外8 个恶意 Python 库,下载次数不少于 30,000 次,可以利用这些库在目标机器上执行远程代码、收集系统信息、虹吸信用卡信息和自动保存的密码。 Chrome 和 Edge 浏览器,甚至窃取 Discord 身份验证令牌。

软件包存储库正在成为供应链攻击的热门目标,并且已经有针对npm、PyPI 和RubyGems等流行存储库的恶意软件攻击。有时允许将恶意软件包上传到包存储库,让恶意行为者有机会使用存储库分发病毒,并对管道中的开发人员和 CI/CD 机器发起成功的攻击。

 

Python软件包Yamale爆代码执行漏洞,超200个项目受影响

极牛网精选文章《Python软件包Yamale爆代码执行漏洞,超200个项目受影响》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16601.html

(0)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2021年10月8日 上午11:49
下一篇 2021年10月9日 上午11:18

相关推荐

发表回复

登录后才能评论