聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
YAML 的机构和验证工具 Yamale 中存在一个高危的代码注入漏洞,可被攻击者用于执行任意 Python 代码。
该漏洞的编号是CVE--38305(CVSS评分7.8),涉及操纵以工具输入形式提供的架构文件,规避保护措施并实现代码执行。具体而言,该问题位于架构解析函数中,可评估和执行传递的任意输入,从而导致架构内特殊构建的字符串被滥用于注入系统命令。
Yamale 是一个Python 包,可使开发人员从命令行验证 YAML(通常用于写配置文件的数据序列化语言)。GitHub 上至少有224个仓库都在使用该包。
JFROG 安全公司的首席技术官 Asaf Karas 表示,“该漏洞可使能够提供输入架构文件的攻击者执行 Python 代码注入,从而导致以 Yamale 进程权限执行代码。我们建议大规模清理进入 eval() 的任意输入,最好是用更具体的API替代 eval() 调用。“
漏洞披露后,已在 Yamale 版本3.0.8 中修正。Yamale 维护人员在8月4日的发布说明中指出,“本次发布修复了一个漏洞,格式良好的架构文件可在运行 Yamale 的系统上执行任意代码。“
这是JFrog 在 Python 包中最近发现的一个安全问题。6月,Vdoo 在 PyPi 仓库中发现了被typosquat的包,该包下载并执行第三方密币挖矿机如 T-Rex、ubqminer 或 PhoenixMiner,挖掘受陷系统上的以太坊和 Ubiq。
之后,JFrog 安全团队发现了其它8个恶意Python包,其下载次数不少于3万次,可被用于在目标机器上执行远程代码、收集系统信息、嗅探信用卡信息和自动存储在 Chrome 和 Edge 浏览器中的密码,甚至窃取 Discord 认证令牌。
研究人员指出,“软件包仓库正在称为供应链攻击的流行目标,流行仓库如 npm、PyPI 和 RubyGems 遭恶意软件攻击。有时恶意包被上传到包仓库中,使恶意人员有机会利用这些仓库传播病毒并成功攻击管道中的开发人员和CI/CD机器。”
推荐阅读
Python 官方软件库 PyPI 遭垃圾软件包洪水攻击
Python 紧急修复远程代码执行漏洞
人生苦短,黑客也首选 Python
原文链接
//10/code-execution-bug-affects-yamale.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 ”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个“在看” 或 "赞” 吧~
如果觉得《Yamale Python 包受高危的代码执行漏洞影响》对你有帮助,请点赞、收藏,并留下你的观点哦!
