聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

YAML 的机构和验证工具 Yamale 中存在一个高危的代码注入漏洞,可被攻击者用于执行任意 Python 代码。

该漏洞的编号是CVE-2021-38305(CVSS评分7.8),涉及操纵以工具输入形式提供的架构文件,规避保护措施并实现代码执行。具体而言,该问题位于架构解析函数中,可评估和执行传递的任意输入,从而导致架构内特殊构建的字符串被滥用于注入系统命令。

Yamale 是一个Python 包,可使开发人员从命令行验证 YAML(通常用于写配置文件的数据序列化语言)。GitHub 上至少有224个仓库都在使用该包。

JFROG 安全公司的首席技术官 Asaf Karas 表示,“该漏洞可使能够提供输入架构文件的攻击者执行 Python 代码注入,从而导致以 Yamale 进程权限执行代码。我们建议大规模清理进入 eval() 的任意输入,最好是用更具体的API替代 eval() 调用。“

漏洞披露后,已在 Yamale 版本3.0.8 中修正。Yamale 维护人员在8月4日的发布说明中指出,“本次发布修复了一个漏洞,格式良好的架构文件可在运行 Yamale 的系统上执行任意代码。“

这是JFrog 在 Python 包中最近发现的一个安全问题。2021年6月,Vdoo 在 PyPi 仓库中发现了被typosquat的包,该包下载并执行第三方密币挖矿机如 T-Rex、ubqminer 或 PhoenixMiner,挖掘受陷系统上的以太坊和 Ubiq。

之后,JFrog 安全团队发现了其它8个恶意Python包,其下载次数不少于3万次,可被用于在目标机器上执行远程代码、收集系统信息、嗅探信用卡信息和自动存储在 Chrome 和 Edge 浏览器中的密码,甚至窃取 Discord 认证令牌。

研究人员指出,“软件包仓库正在称为供应链攻击的流行目标,流行仓库如 npm、PyPI 和 RubyGems 遭恶意软件攻击。有时恶意包被上传到包仓库中,使恶意人员有机会利用这些仓库传播病毒并成功攻击管道中的开发人员和CI/CD机器。”

推荐阅读

Python 官方软件库 PyPI 遭垃圾软件包洪水攻击

Python 紧急修复远程代码执行漏洞

人生苦短,黑客也首选 Python

原文链接

https://thehackernews.com/2021/10/code-execution-bug-affects-yamale.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

Yamale Python 包受高危的代码执行漏洞影响相关推荐

  1. GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitHub 安全团队在 npm CLI 使用的 "tar" 和 "@npmcli/arborist"中 ...

  2. php调用python pkl_Python Pickle的任意代码执行漏洞实践和Payload构造

    *原创作者:bit4@勾陈安全实验室,MottoIN原创文章未经许可禁止转载 0x01 Pickle的典型应用场景 一般在什么场景下需要用到Pickle?通常在解析认证token,session的时候 ...

  3. Apache Dubbo 被曝出“高危”远程代码执行漏洞

    击上方"朱小厮的博客",选择"设为星标" 后台回复"加群",加入组织 来源:22j.co/brUT 0x01 漏洞背景 2020年06月23 ...

  4. 数百万戴尔设备遭 BIOSConnect 代码执行漏洞影响

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 Eclypsium 公司的研究人员发现可链接一系列漏洞在戴尔机器上实施代码执行攻击. 研究人员表示,这些漏洞的组合等同于CVSS 评分为8 ...

  5. 【安全风险通告】Spring Framework远程代码执行漏洞(CVE-2022-22965)安全风险通告第二次更新...

    奇安信CERT 致力于第一时间为企业级用户提供安全风险通告和有效解决方案. 安全通告 近日,奇安信CERT监测到Spring Framework存在远程代码执行漏洞(CVE-2022-22965),在 ...

  6. Apache Log4j任意代码执行漏洞安全风险通告第三次更新

    奇安信CERT 致力于第一时间为企业级用户提供安全风险通告和有效解决方案. 风险通告 近日,奇安信CERT监测到Apache Log4j存在任意代码执行漏洞.经过分析,该组件存在Java JNDI注入 ...

  7. Apache Log4j2远程代码执行漏洞风险紧急通告,腾讯安全支持全面检测拦截

    腾讯安全注意到,一个Apache Log4j2的高危漏洞细节被公开,攻击者利用漏洞可以远程执行代码. 漏洞描述: 腾讯安全注意到,一个Apache Log4j2反序列化远程代码执行漏洞细节已被公开,L ...

  8. winrar远程代码执行漏洞(cve-2018-20250)

    目录 漏洞介绍 漏洞影响 漏洞复现 漏洞修复 漏洞介绍 Check Point团队爆出了一个关于WinRAR存在19年的漏洞,用它来可以获得受害者计算机的控制.攻击者只需利用此漏洞构造恶意的压缩文件, ...

  9. Python 紧急修复远程代码执行漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Python 软件基金会 (PSF) 紧急推出 Python 3.9.2 和 3.8.8 稳定版,解决两个严重的安全缺陷,其中一个从理 ...

最新文章

  1. EWS 通过SubscribeToPullNotifications订阅Exchange新邮件提醒
  2. 计算机网络系统中每台计算机的地位是什么,东北师范计算机应用基础15秋在线作业1满分答案...
  3. 攻防世界web题ics-06(爆破id值)
  4. 【Python】random模块生成多种类型随机数
  5. C# 连接 Sqlserver2005 Analysis Service的总结
  6. AI 技术争鸣!2019 AI 开发者大会盛大开幕
  7. 解决树莓派的gpio口不能读取ds18b20的设备文件
  8. 拒绝版权流氓!阿里巴巴重磅发布免费商用字体
  9. css3ps插件,css3ps插件
  10. excel表格的边框线怎么去除html,在EXCEL中如何去掉表头的边框线
  11. 中国游戏企业扬帆出海,应该选择怎样的云平台?
  12. Elastic认证考试过程(2022.11.13 06:15)
  13. cf刷题记录- 5 1
  14. 【论文】针对图片过大问题,在不降低图片dpi的情况下缩小图片大小
  15. 启动(程序还没执行生成dump文件的代码)就崩溃的处理流程
  16. SSH框架相关准备与入门学习
  17. Qt中使用QAxObject的dynamicCall和querySubObject函数操作SolidWorks的方法
  18. CMD中Pushd和Popd命令的用法
  19. 如何将wincc英文界面转化成中文
  20. C---头指针尾指针

热门文章

  1. 美图 AB Test 实践:Meepo系统
  2. linux修改host文件
  3. 请简述静态地图与动态地图之间的区别,如何在前端页面中选择使用哪种地图?...
  4. 阿里云服务器进入黑洞怎么办?如何查看进入黑洞时间与原因
  5. JavaScript 启用全屏显示/退出全屏模式
  6. 苹果连接计算机无法识别usb设备,苹果iTunes和同步助手都无法识别USB设备怎么办...
  7. Wonderware-InTouch Historian WorkBook部件制作简易SPC
  8. PHP云软件短信接口,短信接口DEMO-PHP
  9. 用javascript绘制雪花(Koch曲线)
  10. 今日美食推荐html代码,美食今日推荐页面.html