Coetus investigatorum ex Universitate Turku (Finland) eventus analysi fasciculorum in PyPI reposito edidit ad usum constructorum periculosorum potentiae, quae ad vulnerabilitates ducere posset. In analysi 197 milia fasciculorum, 749 milia problemata securitatis potentiale notata sunt. 46% fasciculorum saltem unam talem quaestionem habent. Inter problemata frequentissima vitia referuntur ad exceptionem tractantem et usum notarum, quae substitutio codicem patitur.
Ex 749 milibus quaestionibus, quae sunt, 442 milia (41%) appellata sunt ut minor, 227 milia (30%) ut problemata moderata et 80 milia (11%) periculosa. Aliquae fasciculi e turba exstant et milia problematum continent: exempli gratia, fasciculus PyGGI 2589 problematum identificatur, maxime ad usum construendi "experi-pass", et involucrum appendicum 2356 problemata inventa. Magna vis quaestionum adsunt etiam in fasciculis genie.libs.ops, pbcore et genie.libs.parser.
Animadvertendum est eventus ex analysi static automated fundari, quod non attendit contextum applicationis quarundam structurarum. Elit in instrumento latronis toolkit, quod ad codicem eundum adhibitum erat, censebat ob satis excelsum numerum positivorum falsorum, eventus scan non posse directe considerari vulnerabilitates sine accessione manuali uniuscuiusque rei.
Exempli gratia, analyser considerat usum incerti numeri generantium ambiguis et algorithms hashing, ut MD5, problema securitatis esse, cum in codice tales algorithmi adhiberi possunt ad proposita quae securitatem non afficiunt. Analystor etiam omnem processum notitiarum externarum in functionibus non tutandis considerat, ut muria, yaml.load, subprocessus et problema coaevus, sed hic usus vulnerabilitatem non necessario implicat et re vera usus harum functionum sine comminatione securitatis perfici potest. .
inter probationes adhibitae in tablino;
- Utens potentia non tuta functiones exec, mktemp, coaevus, marca, etc.
- Insecure occasum accessum iura pro files.
- Nervum retis omnibus interfaces retis apponens.
- Usus Tesserae et clavium in codice stricte specificantur.
- Praedefinitum tempus utens presul.
- Usus praeterire et pergere in captura omnium stilo exceptio tracto;
- Deductis applicationibus interretialibus positis in compage Lagenae telae debugging modo parato.
- Utens tuta notitia deserialization modi.
- Utitur MD2, MD4, MD5 et SHA1 munera Nullam.
- Usus insecure DES cyphrarum et modorum encryption.
- Insecutionis HTTPSConnection in quibusdam versionibus Pythonis utere.
- Specificare tabella // schema in urlopen.
- Utens pseudorandom numero generantium cum opera cryptographica faciendo.
- Telnet protocollo utens.
- Utens insecuris XML parsers.
Accedit, notari potest quod 8 fasciculi malitiosi in presul PyPI deprehensi sunt. Ante remotionem fasciculi problematici plus quam XXX milia passum sunt receptae. Operationem malignam occultare et admonitiones praetermittere a simplicibus analysribus staticis in fasciculis, caudices codici utentes Base30 notatae sunt et post decoctionem coaevae vocationis utentes exsecuti sunt.
Nobiles, genesisbotae, sunt, patiuntur, nobiles2 et proceressev2 fasciculi codicem continent ad intercipiendum promeritum pectoris numeros et passwords in Chrome et Edge navigatores conditas, necnon signa transferendi de applicatione Discordiae et data ratio, inter screenshots contentorum emittentes. Fasciculi pytagora et pytagora2 comprehenderunt facultatem onerandi et faciendi tertiam partem codicis exsecutabilis.
Source: opennet.ru