Gli sviluppatori della piattaforma VoIP Telnyx hanno avvertito gli utenti di una vulnerabilitΓ nel popolare pacchetto telnyx (756 download al mese) presente nel repository PyPI, che implementa l'SDK per l'accesso all'API di Telnyx.
Π Linux Π·Π»ΠΎΠ²ΡΠ΅Π΄ Π°ΠΊΡΠΈΠ²ΠΈΡΠΎΠ²Π°Π»ΡΡ ΠΏΡΠΈ ΠΈΠΌΠΏΠΎΡΡΠ΅ ΠΌΠΎΠ΄ΡΠ»Ρ ΠΈ ΠΎΡΡΡΠ΅ΡΡΠ²Π»ΡΠ» ΠΏΠΎΠΈΡΠΊ ΠΈ ΠΎΡΠΏΡΠ°Π²ΠΊΡ SSH-ΠΊΠ»ΡΡΠ΅ΠΉ, ΡΡΡΡΠ½ΡΡ Π΄Π°Π½Π½ΡΡ , ΡΠΎΠ΄Π΅ΡΠΆΠΈΠΌΠΎΠ³ΠΎ ΠΏΠ΅ΡΠ΅ΠΌΠ΅Π½Π½ΡΡ ΠΎΠΊΡΡΠΆΠ΅Π½ΠΈΡ, ΡΠΎΠΊΠ΅Π½ΠΎΠ² Π΄ΠΎΡΡΡΠΏΠ° ΠΊ API, ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠΎΠ² ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ΠΈΡ ΠΊ ΠΎΠ±Π»Π°ΡΠ½ΡΠΌ ΡΠ΅ΡΠ²ΠΈΡΠ°ΠΌ AWS, GCP, Azure ΠΈ K8s, ΠΊΠ»ΡΡΠ΅ΠΉ ΠΎΡ ΠΊΡΠΈΠΏΡΠΎΠΊΠΎΡΠ΅Π»ΡΠΊΠΎΠ², ΠΏΠ°ΡΠΎΠ»Π΅ΠΉ ΠΊ Π‘Π£ΠΠ ΠΈ Ρ.ΠΏ. ΠΠ±Π½Π°ΡΡΠΆΠ΅Π½Π½ΡΠ΅ Π΄Π°Π½Π½ΡΠ΅ ΡΠΈΡΡΠΎΠ²Π°Π»ΠΈΡΡ Ρ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΠ΅ΠΌ Π°Π»Π³ΠΎΡΠΈΡΠΌΠΎΠ² AES-256-CBC + RSA-4096 ΠΈ ΠΎΡΠΏΡΠ°Π²Π»ΡΠ»ΠΈΡΡ HTTP POST-Π·Π°ΠΏΡΠΎΡΠΎΠΌ Π½Π° Π²Π½Π΅ΡΠ½ΠΈΠΉ Ρ ΠΎΡΡ.
Fonte: linux.org.ru
