PyPI Python Package Repository Patch Cacat Rantai Pasokan Kritis

  • Whatsapp
PyPI Python Package Repository Patch Cacat Rantai Pasokan Kritis

Pengelola Python Package Index (PyPI) minggu lalu mengeluarkan perbaikan untuk tiga kerentanan, salah satunya dapat disalahgunakan untuk mencapai eksekusi kode arbitrer dan mengambil kendali penuh dari repositori perangkat lunak pihak ketiga resmi.

Kelemahan keamanan adalah telah menemukan dan dilaporkan oleh peneliti keamanan Jepang RyotaK, yang di masa lalu telah mengungkapkan kerentanan kritis di repositori Homebrew Cask dan pustaka CDNJS Cloudflare. Dia dianugerahi total $3.000 sebagai bagian dari program hadiah bug.

Bacaan Lainnya

Tim Stack Overflow

Daftar tiga kerentanan adalah sebagai berikut –

  • Kerentanan dalam Penghapusan Dokumen Lama di PyPI – Kerentanan yang dapat dieksploitasi dalam mekanisme untuk menghapus dokumentasi lama yang menghosting alat penyebaran di PyPI, yang memungkinkan penyerang menghapus dokumentasi untuk proyek yang tidak berada di bawah kendali mereka.
  • Kerentanan dalam Penghapusan Peran di PyPI – Kerentanan yang dapat dieksploitasi dalam mekanisme untuk menghapus peran pada PyPI ditemukan oleh peneliti keamanan, yang memungkinkan penyerang menghapus peran untuk proyek yang tidak berada di bawah kendali mereka.
  • Kerentanan dalam alur kerja Tindakan GitHub untuk PyPI – Kerentanan yang dapat dieksploitasi dalam alur kerja GitHub Actions untuk repositori sumber PyPI dapat memungkinkan penyerang memperoleh izin menulis terhadap repositori pypa/warehouse.

Eksploitasi kelemahan yang berhasil dapat mengakibatkan penghapusan file dokumentasi proyek secara sewenang-wenang, yang berkaitan dengan bagaimana titik akhir API untuk menghapus dokumentasi lama menangani nama proyek yang diteruskan sebagai input, dan memungkinkan pengguna mana pun untuk menghapus peran apa pun yang diberikan ID peran yang valid karena ke tanda centang yang hilang yang mengharuskan proyek saat ini untuk mencocokkan proyek yang terkait dengan peran tersebut.

Manajemen Kata Sandi Perusahaan

Cacat yang lebih kritis menyangkut masalah dalam alur kerja GitHub Actions untuk repositori sumber PyPI bernama “combine-prs.yml,” yang menghasilkan skenario di mana musuh dapat memperoleh izin menulis untuk cabang utama repositori “pypa/warehouse”, dan dalam proses mengeksekusi kode berbahaya di pypi.org.

“Kerentanan yang dijelaskan dalam artikel ini memiliki dampak signifikan pada ekosistem Python,” kata RyotaK. “Seperti yang telah saya sebutkan beberapa kali sebelumnya, beberapa rantai pasokan memiliki kerentanan kritis. Namun, sejumlah kecil orang yang meneliti serangan rantai pasokan, dan sebagian besar rantai pasokan tidak dilindungi dengan benar. Oleh karena itu, saya percaya bahwa itu perlu bagi pengguna yang bergantung pada pada rantai pasokan untuk secara aktif berkontribusi dalam meningkatkan keamanan dalam rantai pasokan.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *