La aŭtoro de mitmproxy, ilo por analizi HTTP/HTTPS-trafikon, atentigis la aspekton de forko de sia projekto en la dosierujo de Python-pakaĵoj PyPI (Python Package Index). La forko estis distribuita sub la simila nomo mitmproxy2 kaj la neekzistanta versio 8.0.1 (nuna eldono mitmproxy 7.0.4) kun la atendo, ke neatentaj uzantoj perceptos la pakaĵon kiel novan eldonon de la ĉefa projekto (typesquatting) kaj dezirus. por provi la novan version.
En ĝia kunmetaĵo, mitmproxy2 estis simila al mitmproxy, kun la escepto de ŝanĝoj kun la efektivigo de malica funkcieco. La ŝanĝoj konsistis el ĉesi agordi la HTTP-kapon "X-Frame-Options: DENY", kiu malpermesas la prilaboradon de enhavo ene de la iframe, malŝalti protekton kontraŭ XSRF-atakoj kaj agordi la kapliniojn "Access-Control-Allow-Origin: *", "Alir-Kontrolo- Allow-Headers: *" kaj "Alir-Kontrolo-Allow-Metodoj: POST, GET, DELETE, OPCIOJ".
Ĉi tiuj ŝanĝoj forigis limigojn pri aliro al la HTTP-API uzata por administri mitmproxy per la Reta interfaco, kio permesis al ajna atakanto situanta sur la sama loka reto organizi la ekzekuton de sia kodo en la sistemo de la uzanto sendante HTTP-peton.
La administrado de dosierujo konsentis, ke la ŝanĝoj faritaj povus esti interpretitaj kiel malicaj, kaj la pakaĵo mem kiel provo promocii alian produkton sub la alivestiĝo de la ĉefa projekto (la priskribo de la pako deklaris, ke tio estas nova versio de mitmproxy, ne forko). Foriginte la pakaĵon el la katalogo, la sekvan tagon nova pako, mitmproxy-iframe, estis afiŝita al PyPI, kies priskribo ankaŭ tute kongruis kun la oficiala pako. La pako mitmproxy-iframe ankaŭ nun estis forigita de la dosierujo PyPI.
fonto: opennet.ru