国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

高嚴重代碼注入漏洞影響Yamale Python包 超過200個項目使用

PascalXie / 1629人閱讀

摘要:軟件包存儲庫正成為供應鏈攻擊的熱門目標,和等流行存儲庫已經受到惡意軟件攻擊,研究人員稱。當應用程序中的第三代碼方庫不能保持在最新狀態時,對企業來說后果可能很嚴重。

在23andMe的Yamale (YAML的模式和驗證器)中披露了一個高度嚴重的代碼注入漏洞,網絡攻擊者可以隨意利用該漏洞執行任意Python代碼。

該漏洞被跟蹤為CVE-2021-38305(CVSS分數:7.8),涉及操縱作為工具輸入提供的架構文件,以繞過保護并實現代碼執行。特別是,問題存在于模式解析函數中,該函數允許對傳入的任何輸入進行求值和執行,從而導致在模式中使用特殊制作的字符串來注入系統命令的情況。

Yamale是一個Python包,它允許開發人員從命令行驗證YAML(一種經常用于編寫配置文件的數據序列化語言)。GitHub上至少有224個存儲庫使用這個包。

JFrog Security 首席技術官 Asaf Karas 在電子郵件聲明中說:“這個漏洞允許攻擊者提供輸入模式文件來執行 Python 代碼注入,從而導致使用Yamale進程的特權執行代碼。” “我們建議對任何進入eval() 的輸入進行徹底的清理,最好是用任務所需的更具體的api替換eval()調用。”

該問題已在Yamale 版本3.0.8中得到糾正。Yamale的維護者在8月4日發布的發布說明中指出:“這個版本修復了一個錯誤,即格式良好的模式文件可以在運行Yamale的系統上執行任意代碼。”

這是JFrog在Python包中發現的一系列安全問題中的最新發現。

2021年6月,Vdoo在PyPi存儲庫中披露了typosquatted包,發現這些包下載并執行第三方加密器,如T-Rex、ubqminer或PhoenixMiner,用于在受影響的系統上挖掘以太坊和Ubiq。

隨后,JFrog安全團隊發現了另外8個惡意的Python庫,這些庫被下載了不少于3萬次,可以用來在目標機器上執行遠程代碼,收集系統信息,竊取信用卡信息和自動保存在Chrome和Edge瀏覽器中的密碼,甚至竊取Discord認證令牌。

“軟件包存儲庫正成為供應鏈攻擊的熱門目標,npm、PyPI和RubyGems等流行存儲庫已經受到惡意軟件攻擊,”研究人員稱。“有時,惡意軟件包被允許上傳到包存儲庫,這給了惡意行為者利用存儲庫傳播病毒的機會,并對開發人員和管道中的CI/CD機發起成功的攻擊。”

隨著敏捷開發的盛行,第三方軟件包存儲庫被廣泛使用,這在一定程度上幫助開發人員加快開發進程,提高工作效率。但在犯罪分子眼中,開發人員及其團隊及客戶群已成為惡意軟件的關鍵切入點,針對開發人員的最常見的攻擊媒介之一是利用公共軟件包存儲庫。因此在使用這些托管包時,對框架及代碼及時進行安全檢測十分重要。

當應用程序中的第三代碼方庫不能保持在最新狀態時,對企業來說后果可能很嚴重。首先,違規風險可能會更高,其次是增加了補丁的復雜性。漏洞時間越長修補就越復雜,打補丁所需的時間就越長,破壞應用程序的風險也就越大。

因此在軟件開發期間就開始關注代碼質量和安全,使用靜態代碼檢測工具或SCA等工具,檢測編碼規范問題及缺陷,提高自研代碼及第三方代碼的安全性,不但可以為開發人員查看修改代碼問題節省大量時間成本,還能為后續維護軟件安全問題減少阻力,確保軟件自身安全。

參讀鏈接:

thehackernews.com/2021/10/cod…

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/122337.html

相關文章

  • 一家互聯網金融公司的安全保護實踐

    摘要:而且在我們這種創業公司,這些安全方式很難實踐。沒有足夠的資源和時間,來按照大公司的安全實踐來保障產品的安全。但是安全又是互聯網金融產品至關重要的事情,一旦受到攻擊,進而導致信息泄密或者數據庫破壞,后果不堪設想。 前言 我們是一家普通的 P2P 網貸平臺,隨著用戶量和交易量的上漲,十幾個人的研發團隊面臨了很大的挑戰。雙十一開始,平臺受到了不少黑客的攻擊,保證安全的重任也落到了我們研發團隊...

    ?xiaoxiao, 評論0 收藏0
  • TensorFlow 刪除 YAML 支持,建議 JSON 作為替補方案!

    摘要:據公告稱,和的包裝庫使用了不安全的函數來反序列化編碼的機器學習模型。簡單來看,序列化將對象轉換為字節流。據悉,本次漏洞影響與版本,的到版本均受影響。作為解決方案,在宣布棄用之后,團隊建議開發者以替代序列化,或使用序列化作為替代。 ...

    BlackFlagBin 評論0 收藏0
  • 聽說拼多多因漏洞被薅了200億?- 談談軟件測試

    摘要:昨天看到一個大新聞拼多多在日凌晨出現漏洞,用戶可以領元無門檻優惠券。拼多多本來就是家爭議頗大的公司,這次事件更是引發輿論熱議。有人估計全球為此花費的相關費用有數億美元。軟件發布測試版讓用戶使用,就屬于一種黑盒測試。 昨天看到一個大新聞: 拼多多在20日凌晨出現漏洞,用戶可以領100元無門檻優惠券 。一夜之間,被黑產、羊毛黨和聞訊而來的吃瓜群眾薅了個底朝天,直到第二天上午9點才將優惠券下...

    henry14 評論0 收藏0
  • Nagios披露11安全漏洞 嚴重可致黑客接管IT基礎設施

    摘要:網絡管理系統需要廣泛的信任和對網絡組件的訪問,以便正確監控網絡行為和性能是否出現故障和效率低下,稱。今年月早些時候,披露了網絡監控應用程序中的個安全漏洞,這些漏洞可能被攻擊者濫用,在沒有任何運營商干預的情況下劫持基礎設施。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px...

    pkwenda 評論0 收藏0

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<