Автор: Python Package Index (PyPI) на прошлой неделе выпустили исправления для трех уязвимостей. Одна из которых может быть использована для выполнения произвольного кода и получения полного контроля.
Слабые места в системе безопасности обнаружил японский исследователь безопасности RyotaK. Который в прошлом обнаруживал критические уязвимости в репозитории Homebrew Cask и библиотеке Cloudflare CDNJS.
Список из трех уязвимостей выглядит следующим образом:
- Уязвимость в механизмах удаления устаревшей документации, которая позволяет злоумышленнику удалить документацию для проектов, не находящихся под его контролем.
- Уязвимость в удалении ролей в PyPI. Исследователь безопасности обнаружил уязвимость в механизмах удаления ролей в PyPI. Которая позволяет злоумышленнику удалять роли из проектов, не находящихся под их контролем.
- Уязвимость в рабочем процессе GitHub Actions для PyPI. Эксплуатационная уязвимость в рабочем процессе GitHub Actions для исходного репозитория PyPI может позволить злоумышленнику получить разрешения на запись в репозиторий pypa.
Успешная эксплуатация уязвимостей может привести к произвольному удалению файлов документации проекта.
Более критическая ошибка связана с проблемой в рабочем процессе GitHub Actions для исходного репозитория PyPI с именем “comb-prs.yml”. В результате злоумышленник может получить разрешение на запись для основной ветви репозитория “pypa”, что может привести к выполнению вредоносного кода на pypi.org.
«Как я уже упоминал ранее, некоторые цепочки поставок имеют критические уязвимости. Однако, ограниченное число людей исследуют атаки на цепочки поставок, и большинство цепочек поставок не защищены должным образом. Поэтому я считаю, что необходимо активно способствовать повышению безопасности в цепочке поставок» – отмечает RyotaK.
А на этом сегодня все, надеюсь, данная статья будет вам полезна.
Хотелось бы выразить огромную благодарность тем, кто принимает активное участие в жизни и развитии журнала, огромное спасибо вам за это.
Журнал Cyber-X
