ソースコードのセキュリティを重視し、国内外の最新情報を収集!
コンパイル: コードガード
Python の URL 解析機能に重大度の高い脆弱性が存在し、インターセプト リストを通じて実装されたドメインまたはプロトコルのフィルタリング メソッドをバイパスするために使用される可能性があり、その結果、任意のファイルの読み取りやコマンドの実行が引き起こされます。この脆弱性には CVE-2023-24329 の番号が付けられ、CVSS スコアは 7.5 です。
CERT/CC は先週金曜日にセキュリティ情報を発行し、「URL 全体がヌル文字で始まる場合、urlparse で解析の問題が発生します。この脆弱性はホスト名とスキーマの解析に影響し、最終的にはブロッキング リストのメソッドが失敗する可能性があります」と述べています。 。」
この脆弱性を発見して報告した研究者 Yebo Cao 氏は、この脆弱性は次のバージョンで修正されたと述べました。
>= 3.12
3.11.x >= 3.11.4
3.10.x >= 3.10.12
3.9.x >= 3.9.17
3.8.x >= 3.8.17 および
3.7.x >= 3.7.17
Urllib.parse は広く使用されている解析関数であり、URL をそのコンポーネントに分解するか、それらのコンポーネントを URL 文字列に結合します。この脆弱性は入力検証の欠如によって引き起こされ、攻撃者がヌル文字で始まる URL (「https://youtube[.]com」など) を提供してブロッキング マニフェスト メソッドをバイパスすることが可能になります。
研究者は、「ブロッキング リストは悪い選択であると考えられていますが、依然として多くのシナリオで必要です。この脆弱性により、攻撃者は開発者がスキーマとホストに設定した保護手段を回避できます。この脆弱性は多くのシナリオで発生する可能性があります」と述べています。 SSRF と RCE の結果。」
Code Guard トライアル アドレス: https://codesafe.qianxin.com
オープンソース ガードのトライアル アドレス: https://oss.qianxin.com
推奨読書
Qi Anxinは世界的な「静的アプリケーションセキュリティテストパノラマ」の代表メーカーに選ばれました
Qi Anxinは世界的な「ソフトウェアコンポーネント分析のパノラマ」で代表メーカーに選ばれました
悪意のある PyPI パッケージは、コンパイルされた Python コードを通じて検出をバイパスします
Python 開発者への警告: PyPI トロイの木馬パッケージは人気のあるライブラリを偽って攻撃を開始します
W4SP スティーラー、サプライ チェーン攻撃で Python 開発者を標的
この Python 0day は 15 年間存在し、350,000 以上のオープンソース プロジェクトに影響を与えてきました。
元のリンク
https://thehackernews.com/2023/08/new-python-url-parsing-flaw-enables.html
タイトル画像: Pixabayライセンス
この記事は Qi Anxin によって編集されたものであり、Qi Anxin の見解を表すものではありません。「Qi Anxin Code Guard https://codesafe.qianxin.com から転載」と明記してください。
Qi Anxin コードガード (コードセーフ)
国内初のソフトウェア開発セキュリティに特化した製品群。
良いと感じたら、「見る」または「いいね」をクリックしてください〜