Die Schwachstelle beim Parsen von Python-URLs kann zu Befehlsausführungsangriffen führen

News 2023-08-26 11:28:57 views: null

409843f641a1fefbaa5fcf0ce797b477.gif Konzentrieren Sie sich auf die Sicherheit des Quellcodes und sammeln Sie die neuesten Informationen im In- und Ausland!

Kompilieren: Code Guard

In der Python-URL-Analysefunktion besteht eine Sicherheitslücke mit hohem Schweregrad, die dazu verwendet werden kann, durch Abfanglisten implementierte Domänen- oder Protokollfiltermethoden zu umgehen, was zu willkürlichen Dateilese- und Befehlsausführungskonsequenzen führt. Die Schwachstelle hat die Nummer CVE-2023-24329 und einen CVSS-Score von 7,5.

bb057a2f512a3547d0956217c64d7a99.png

CERT/CC hat letzten Freitag ein Sicherheitsbulletin herausgegeben, in dem es heißt: „urlparse hat ein Parsing-Problem, wenn die gesamte URL mit einem Nullzeichen beginnt. Diese Sicherheitslücke beeinträchtigt das Parsen von Hostnamen und Schemata und kann schließlich dazu führen, dass alle Blockierungslistenmethoden fehlschlagen.“

Yebo Cao, der Forscher, der die Sicherheitslücke entdeckt und gemeldet hat, sagte, dass die Sicherheitslücke in den folgenden Versionen behoben wurde:

  •  >= 3.12

  • 3.11.x >= 3.11.4

  • 3.10.x >= 3.10.12

  • 3.9.x >= 3.9.17

  • 3.8.x >= 3.8.17 und

  • 3.7.x >= 3.7.17

Urllib.parse ist eine weit verbreitete Analysefunktion, die höchstwahrscheinlich eine URL in ihre Komponenten zerlegt oder diese Komponenten zu einer URL-Zeichenfolge kombiniert. Die Sicherheitslücke wird durch eine fehlende Eingabevalidierung verursacht, die es einem Angreifer ermöglicht, eine URL bereitzustellen, die mit einem Nullzeichen beginnt (z. B. „https://youtube[.]com“), um die blockierende Manifestmethode zu umgehen.

Der Forscher erwähnte: „Obwohl die Sperrliste als schlechte Wahl angesehen wird, ist sie in vielen Szenarien dennoch erforderlich. Diese Schwachstelle ermöglicht es Angreifern, die Schutzmaßnahmen zu umgehen, die Entwickler für Schemata und Hosts festgelegt haben. Die Schwachstelle kann in vielen Szenarien dazu führen.“ SSRF- und RCE-Konsequenzen.“

Adresse der Code Guard-Testversion: https://codesafe.qianxin.com

Adresse der Open-Source-Guard-Testversion: https://oss.qianxin.com

Literatur-Empfehlungen

Qi Anxin wurde als repräsentativer Hersteller des globalen „Static Application Security Testing Panorama“ ausgewählt.

Qi Anxin wurde als repräsentativer Hersteller im globalen „Panorama der Softwarekomponentenanalyse“ ausgewählt.

Schädliches PyPI-Paket umgeht die Erkennung durch kompilierten Python-Code

Python-Entwicklerwarnung: PyPI-Trojaner-Paket fälscht beliebte Bibliotheken, um Angriffe zu starten

Prototyp einer Variante der Sicherheitsanfälligkeit bezüglich Umweltverschmutzung existiert in Python

W4SP Stealer nimmt Python-Entwickler bei Supply-Chain-Angriffen ins Visier

Dieser Python 0day existiert seit 15 Jahren und hat mehr als 350.000 Open-Source-Projekte beeinflusst

Ursprünglicher Link

https://thehackernews.com/2023/08/new-python-url-parsing-flaw-enables.html

Titelbild: Pixabay-Lizenz

Dieser Artikel wurde von Qi Anxin zusammengestellt und gibt nicht die Ansichten von Qi Anxin wieder. Bitte geben Sie „Nachdruck von Qi Anxin Code Guard https://codesafe.qianxin.com“ an.

ce66295b6893ab9512a2e0a1d5f5d5fa.jpeg

b1f72826c6e5ce25f3d97da79ef9e278.jpeg

Qi Anxin Codewächter (Codesafe)

Die erste inländische Produktlinie mit Schwerpunkt auf Softwareentwicklungssicherheit.

   b7711dc1422f8cea4c4c1253c8f28707.gif Wenn Sie sich wohl fühlen, klicken Sie einfach auf „Suchen“ oder „Gefällt mir“~

Ich denke du magst

Origin blog.csdn.net/smellycat000/article/details/132288605
Empfohlen
Rangfolge
Täglich
Mehr
2024-06-03(1)
2024-06-02(0)
2024-06-01(1)
2024-05-31(2)
2024-05-30(0)
2024-05-29(1)
2024-05-28(1)
2024-05-27(1)
2024-05-26(0)
2024-05-25(1)

Code World

© 2018 codetd.com