D'fhoilsigh grúpa taighdeoirí ó Ollscoil Turku (an Fhionlainn) torthaí anailíse ar phacáistí i stór PyPI maidir le húsáid tógálacha a d'fhéadfadh a bheith contúirteach a d'fhéadfadh leochaileachtaí a bheith mar thoradh orthu. Le linn na hanailíse ar 197 míle pacáiste, aithníodh 749 míle fadhbanna slándála féideartha. Tá fadhb amháin dá leithéid ar a laghad ag 46% de na pacáistí. I measc na bhfadhbanna is coitianta tá easnaimh a bhaineann le láimhseáil eisceachta agus úsáid gnéithe a cheadaíonn ionadú cód.
As na 749 míle fadhb a aithníodh, lipéadaíodh 442 míle (41%) mar mhionfhadhbanna, lipéadaíodh 227 míle (30%) mar fhadhbanna measartha agus 80 míle (11%) mar fhadhbanna contúirteacha. Seasann roinnt pacáistí amach ón slua agus tá na mílte fadhbanna iontu: mar shampla, d’aithin an pacáiste PyGGI 2589 d’fhadhbanna, a bhain go príomha le húsáid an tógáil “triail seachas pas”, agus d’aimsigh an pacáiste appengine-sdk 2356 fadhb. Tá líon mór fadhbanna i láthair freisin sna pacáistí genie.libs.ops, pbcore agus genie.libs.parser.
Ba chóir a thabhairt faoi deara go bhfuarthas na torthaí bunaithe ar anailís statach uathoibrithe, nach gcuireann san áireamh comhthéacs cur i bhfeidhm struchtúir áirithe. Chuir forbróir an fhoireann uirlisí meirleach, a úsáideadh chun an cód a scanadh, an tuairim in iúl, mar gheall ar an líon measartha ard dearfach bréagach, nach féidir torthaí an scanadh a mheas go díreach mar leochaileachtaí gan athbhreithniú láimhe breise ar gach saincheist.
Mar shampla, measann an t-anailíseoir gur fadhb slándála é gineadóirí uimhreacha randamacha neamhiontaofa agus halgartaim hashing a úsáid, mar MD5, agus sa chód féadfar algartaim den sórt sin a úsáid chun críocha nach gcuireann isteach ar shlándáil. Measann an t-anailíseoir freisin aon phróiseáil ar shonraí seachtracha i bhfeidhmeanna neamhshábháilte mar fhadhb pickle, yaml.load, subprocess agus eval, ach ní gá go mbeadh leochaileacht i gceist leis an úsáid seo agus go deimhin is féidir úsáid na bhfeidhmeanna seo a chur i bhfeidhm gan bagairt slándála. .
I measc na dtástálacha a úsáideadh sa staidéar:
- Ag baint úsáide as feidhmeanna a d’fhéadfadh a bheith neamhshábháilte exec, mktemp, eval, mark_safe, etc.
- Cearta rochtana comhaid a shocrú go neamhdhaingean.
- Soicéad líonra a cheangal de gach comhéadan líonra.
- Úsáid pasfhocail agus eochracha atá sonraithe go docht sa chód.
- Ag baint úsáide as eolaire sealadach réamhshainithe.
- Úsáid pas agus leanúint ar aghaidh i láimhseálaithe eisceachta uile-stíl;
- Feidhmchláir ghréasáin a sheoladh bunaithe ar chreat gréasáin Flask le modh dífhabhtaithe cumasaithe.
- Ag baint úsáide as modhanna neamhshábháilte díserialú sonraí.
- Úsáideann sé feidhmeanna MD2, MD4, MD5 agus SHA1 hash.
- Úsáid a bhaint as sifir DES neamhdhaingean agus as modhanna criptithe.
- Úsáid a bhaint as cur i bhfeidhm ceangail HTTPSC neamhdhaingean i roinnt leaganacha de Python.
- Ag sonrú scéim an chomhaid:// in urlopen.
- Ag baint úsáide as gineadóirí uimhreacha pseudorandom agus tascanna cripteagrafacha á gcomhlíonadh.
- Ag baint úsáide as prótacal Telnet.
- Ag baint úsáide as parsálaithe XML neamhdhaingean.
Ina theannta sin, is féidir a thabhairt faoi deara gur aimsíodh 8 bpacáiste mailíseach san eolaire PyPI. Roimh a bhaint, íoslódáladh pacáistí fadhbacha níos mó ná 30 míle uair. Chun gníomhaíocht mhailíseach a cheilt agus rabhaidh a sheachbhóthar ó anailíseoirí statacha simplí i bpacáistí, ionchódaíodh bloic chóid le Base64 agus rinneadh iad a fhorghníomhú tar éis díchódaithe ag baint úsáide as glao eval.
Na pacáistí uasal, genesisbot, are, suffer, noblesse2 agus noblesse2 tá cód le huimhreacha cártaí creidmheasa agus pasfhocail a stóráiltear i mbrabhsálaithe Chrome agus Edge a thascradh, chomh maith le comharthaí cuntais a aistriú ón bhfeidhmchlár Discord agus sonraí córais a sheoladh, lena n-áirítear screenshots d’ábhar scáileáin . Áiríodh sna pacáistí pytagora agus pytagora2 an cumas cód inrite tríú páirtí a luchtú agus a fhorghníomhú.
Foinse: oscailtenet.ru