?聚焦源代碼安全，網(wǎng)羅國內(nèi)外最新資訊！

編譯：代碼衛(wèi)士

YAML 的機構和驗證工具 Yamale 中存在一個高危的代碼注入漏洞，可被攻擊者用于執(zhí)行任意 Python 代碼。

該漏洞的編號是CVE-2021-38305（CVSS評分7.8），涉及操縱以工具輸入形式提供的架構文件，規(guī)避保護措施并實現(xiàn)代碼執(zhí)行。具體而言，該問題位于架構解析函數(shù)中，可評估和執(zhí)行傳遞的任意輸入，從而導致架構內(nèi)特殊構建的字符串被濫用于注入系統(tǒng)命令。

Yamale 是一個Python 包，可使開發(fā)人員從命令行驗證 YAML（通常用于寫配置文件的數(shù)據(jù)序列化語言）。GitHub 上至少有224個倉庫都在使用該包。

JFROG 安全公司的首席技術官 Asaf Karas 表示，“該漏洞可使能夠提供輸入架構文件的攻擊者執(zhí)行 Python 代碼注入，從而導致以 Yamale 進程權限執(zhí)行代碼。我們建議大規(guī)模清理進入 eval() 的任意輸入，最好是用更具體的API替代 eval() 調(diào)用。“

漏洞披露后，已在 Yamale 版本3.0.8 中修正。Yamale 維護人員在8月4日的發(fā)布說明中指出，“本次發(fā)布修復了一個漏洞，格式良好的架構文件可在運行 Yamale 的系統(tǒng)上執(zhí)行任意代碼。“

這是JFrog 在 Python 包中最近發(fā)現(xiàn)的一個安全問題。2021年6月，Vdoo 在 PyPi 倉庫中發(fā)現(xiàn)了被typosquat的包，該包下載并執(zhí)行第三方密幣挖礦機如 T-Rex、ubqminer 或 PhoenixMiner，挖掘受陷系統(tǒng)上的以太坊和 Ubiq。

之后，JFrog 安全團隊發(fā)現(xiàn)了其它8個惡意Python包，其下載次數(shù)不少于3萬次，可被用于在目標機器上執(zhí)行遠程代碼、收集系統(tǒng)信息、嗅探信用卡信息和自動存儲在 Chrome 和 Edge 瀏覽器中的密碼，甚至竊取 Discord 認證令牌。

研究人員指出，“軟件包倉庫正在稱為供應鏈攻擊的流行目標，流行倉庫如 npm、PyPI 和 RubyGems 遭惡意軟件攻擊。有時惡意包被上傳到包倉庫中，使惡意人員有機會利用這些倉庫傳播病毒并成功攻擊管道中的開發(fā)人員和CI/CD機器。”

---

推薦閱讀

Python 官方軟件庫 PyPI 遭垃圾軟件包洪水攻擊

Python 緊急修復遠程代碼執(zhí)行漏洞

人生苦短，黑客也首選 Python

原文鏈接

https://thehackernews.com/2021/10/code-execution-bug-affects-yamale.html

題圖：Pixabay License

本文由奇安信編譯，不代表奇安信觀點。轉(zhuǎn)載請注明“轉(zhuǎn)自奇安信代碼衛(wèi)士 https://codesafe.qianxin.com”。

奇安信代碼衛(wèi)士 (codesafe)

國內(nèi)首個專注于軟件開發(fā)安全的產(chǎn)品線。

? ??覺得不錯，就點個?“在看” 或 "贊” 吧~

總結

以上是生活随笔為你收集整理的Yamale Python 包受高危的代码执行漏洞影响的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。