Dh’ fhoillsich buidheann de luchd-rannsachaidh bho Oilthigh Turku (An Fhionnlainn) toraidhean mion-sgrùdadh air pasganan ann an stòr PyPI airson a bhith a’ cleachdadh structaran a dh’ fhaodadh a bhith cunnartach a dh’ fhaodadh so-leòntachd adhbhrachadh. Rè an anailis air 197 mìle pasgan, chaidh 749 mìle duilgheadas tèarainteachd a chomharrachadh. Tha co-dhiù aon duilgheadas mar sin aig 46% de phasganan. Am measg nan duilgheadasan as cumanta tha easbhaidhean co-cheangailte ri làimhseachadh eisgeachd agus cleachdadh feartan a leigeas le còd a chuir an àite.
De na 749 mìle duilgheadas a chaidh an comharrachadh, chaidh 442 mìle (41%) ainmeachadh mar bheagan, 227 mìle (30%) mar dhuilgheadasan meadhanach agus 80 mìle (11%) cunnartach. Tha cuid de phasganan a’ seasamh a-mach bhon t-sluagh agus tha mìltean de dhuilgheadasan ann: mar eisimpleir, chomharraich pasgan PyGGI 2589 duilgheadas, gu ìre mhòr co-cheangailte ri cleachdadh an togail “try-except-pass”, agus lorg am pasgan appengine-sdk 2356 duilgheadas. Tha àireamh mhòr de dhuilgheadasan cuideachd an làthair anns na pasganan genie.libs.ops, pbcore agus genie.libs.parser.
Bu chòir a thoirt fa-near gun deach na toraidhean fhaighinn stèidhichte air mion-sgrùdadh statach fèin-ghluasadach, nach eil a’ toirt aire do cho-theacsa cleachdadh structaran sònraichte. Chuir leasaiche an inneal bandit, a chaidh a chleachdadh airson a’ chòd a sganadh, a’ bheachd an cèill mar thoradh air an àireamh meadhanach àrd de nithean ceàrr, nach urrainnear beachdachadh gu dìreach air toraidhean an sgrùdaidh mar so-leòntachd às aonais ath-sgrùdadh làimhe a bharrachd air gach cùis.
Mar eisimpleir, tha an anailisiche den bheachd gu bheil cleachdadh gineadairean àireamh air thuaiream neo-earbsach agus algoirmean hashing, leithid MD5, na dhuilgheadas tèarainteachd, agus anns a’ chòd faodar a leithid de algoirmean a chleachdadh airson adhbharan nach toir buaidh air tèarainteachd. Bidh an anailisiche cuideachd a’ beachdachadh air giullachd dàta bhon taobh a-muigh ann an gnìomhan mì-shàbhailte leithid pickle, yaml.load, subprocess agus eval duilgheadas, ach gu riatanach chan eil an cleachdadh seo a’ toirt a-steach so-leòntachd agus gu dearbh faodar cleachdadh nan gnìomhan sin a chuir an gnìomh às aonais bagairt tèarainteachd. .
Am measg nan deuchainnean a chaidh a chleachdadh san sgrùdadh:
- A’ cleachdadh gnìomhan a dh’ fhaodadh a bhith cunnartach exec, mktemp, eval, mark_safe, msaa.
- Suidheachadh mì-chinnteach de chòraichean-slighe airson faidhlichean.
- A 'ceangal socaid lìonra ri gach eadar-aghaidh lìonra.
- Cleachdadh faclan-faire agus iuchraichean air an sònrachadh gu teann sa chòd.
- A’ cleachdadh eòlaire sealach ro-mhìnichte.
- A’ cleachdadh pas agus a’ leantainn ann an làimhseachadh eisgeachd ann an stoidhle glacaidh;
- A’ cur air bhog tagraidhean lìn stèidhichte air frèam lìn Flask le modh deasbaid air a chomasachadh.
- A’ cleachdadh dhòighean dì-shreathachaidh dàta neo-shàbhailte.
- A’ cleachdadh gnìomhan hash MD2, MD4, MD5 agus SHA1.
- Cleachdadh ciphers DES mì-chinnteach agus modhan crioptachaidh.
- Cleachdadh gnìomh ceangail HTTPSC mì-chinnteach ann an cuid de dhreachan de Python.
- Sònrachadh an fhaidhle: // sgeama ann an urlopen.
- A’ cleachdadh gineadairean àireamh pseudorandom nuair a bhios tu a’ coileanadh gnìomhan criptografach.
- A’ cleachdadh protocol Telnet.
- A’ cleachdadh parsairean XML mì-chinnteach.
A bharrachd air an sin, faodar a thoirt fa-near gun deach pasganan droch-rùnach 8 a lorg anns an eòlaire PyPI. Mus deach a thoirt air falbh, chaidh pasganan trioblaideach a luchdachadh sìos còrr air 30 mìle uair. Gus gnìomhachd droch-rùnach fhalach agus seachain rabhaidhean bho sgrùdairean statach sìmplidh ann am pasganan, chaidh blocaichean còd a chòdachadh le bhith a’ cleachdadh Base64 agus an cur gu bàs às deidh an còdachadh le bhith a’ cleachdadh gairm eval.
Anns na pasganan uasal, genesisbot, are, suffer, noblesse2 agus noblesse2 tha còd gus casg a chuir air àireamhan cairt creideas agus faclan-faire a tha air an stòradh ann am brobhsairean Chrome agus Edge, a bharrachd air comharran cunntais a ghluasad bhon tagradh Discord agus dàta siostam a chuir, a’ toirt a-steach seallaidhean-sgrìn de shusbaint sgrion. Bha na pacaidean pytagora agus pytagora2 a’ toirt a-steach comas còd so-ghnìomhaichte treas-phàrtaidh a luchdachadh agus a chuir an gnìomh.
Source: fosgailtenet.ru