Konzentrieren Sie sich auf die Sicherheit des Quellcodes und sammeln Sie die neuesten Informationen im In- und Ausland!
Kompilieren: Code Guard
In der Python-URL-Analysefunktion besteht eine Sicherheitslücke mit hohem Schweregrad, die dazu verwendet werden kann, durch Abfanglisten implementierte Domänen- oder Protokollfiltermethoden zu umgehen, was zu willkürlichen Dateilese- und Befehlsausführungskonsequenzen führt. Die Schwachstelle hat die Nummer CVE-2023-24329 und einen CVSS-Score von 7,5.
CERT/CC hat letzten Freitag ein Sicherheitsbulletin herausgegeben, in dem es heißt: „urlparse hat ein Parsing-Problem, wenn die gesamte URL mit einem Nullzeichen beginnt. Diese Sicherheitslücke beeinträchtigt das Parsen von Hostnamen und Schemata und kann schließlich dazu führen, dass alle Blockierungslistenmethoden fehlschlagen.“
Yebo Cao, der Forscher, der die Sicherheitslücke entdeckt und gemeldet hat, sagte, dass die Sicherheitslücke in den folgenden Versionen behoben wurde:
>= 3.12
3.11.x >= 3.11.4
3.10.x >= 3.10.12
3.9.x >= 3.9.17
3.8.x >= 3.8.17 und
3.7.x >= 3.7.17
Urllib.parse ist eine weit verbreitete Analysefunktion, die höchstwahrscheinlich eine URL in ihre Komponenten zerlegt oder diese Komponenten zu einer URL-Zeichenfolge kombiniert. Die Sicherheitslücke wird durch eine fehlende Eingabevalidierung verursacht, die es einem Angreifer ermöglicht, eine URL bereitzustellen, die mit einem Nullzeichen beginnt (z. B. „https://youtube[.]com“), um die blockierende Manifestmethode zu umgehen.
Der Forscher erwähnte: „Obwohl die Sperrliste als schlechte Wahl angesehen wird, ist sie in vielen Szenarien dennoch erforderlich. Diese Schwachstelle ermöglicht es Angreifern, die Schutzmaßnahmen zu umgehen, die Entwickler für Schemata und Hosts festgelegt haben. Die Schwachstelle kann in vielen Szenarien dazu führen.“ SSRF- und RCE-Konsequenzen.“
Adresse der Code Guard-Testversion: https://codesafe.qianxin.com
Adresse der Open-Source-Guard-Testversion: https://oss.qianxin.com
Literatur-Empfehlungen
Schädliches PyPI-Paket umgeht die Erkennung durch kompilierten Python-Code
Python-Entwicklerwarnung: PyPI-Trojaner-Paket fälscht beliebte Bibliotheken, um Angriffe zu starten
W4SP Stealer nimmt Python-Entwickler bei Supply-Chain-Angriffen ins Visier
Ursprünglicher Link
https://thehackernews.com/2023/08/new-python-url-parsing-flaw-enables.html
Titelbild: Pixabay-Lizenz
Dieser Artikel wurde von Qi Anxin zusammengestellt und gibt nicht die Ansichten von Qi Anxin wieder. Bitte geben Sie „Nachdruck von Qi Anxin Code Guard https://codesafe.qianxin.com“ an.
Qi Anxin Codewächter (Codesafe)
Die erste inländische Produktlinie mit Schwerpunkt auf Softwareentwicklungssicherheit.
Wenn Sie sich wohl fühlen, klicken Sie einfach auf „Suchen“ oder „Gefällt mir“~