Nisy vondrona mpikaroka avy ao amin'ny Oniversiten'i Turku (Finlandy) namoaka ny valin'ny famakafakana ny fonosana ao amin'ny tahiry PyPI ho an'ny fampiasana ireo fanorenana mety hampidi-doza izay mety hitarika ho amin'ny vulnerability. Nandritra ny famakafakana ny fonosana 197 arivo, 749 arivo ny mety ho olana momba ny fiarovana. Ny 46% amin'ny fonosana dia manana olana iray farafaharatsiny. Anisan'ny olana mahazatra indrindra ny lesoka mifandraika amin'ny fikarakarana manokana sy ny fampiasana endri-javatra mamela ny fanoloana kaody.
Amin'ireo olana 749 arivo fantatra, 442 arivo (41%) no voasokajy ho tsy ampy taona, 227 arivo (30%) ho olana antonony ary 80 arivo (11%) no mampidi-doza. Ny fonosana sasany dia miavaka amin'ny vahoaka ary misy olana an'arivony: ohatra, ny fonosana PyGGI dia namaritra olana 2589, indrindra mifandraika amin'ny fampiasana ny fananganana "try-except-pass", ary ny fonosana appengine-sdk dia nahitana olana 2356. Betsaka ny olana hita ao amin'ny fonosana genie.libs.ops, pbcore ary genie.libs.parser.
Tsara homarihina fa ny vokatra azo mifototra amin'ny automatique static fanadihadiana, izay tsy tafiditra ao ny toe-javatra ny fampiharana ny rafitra sasany. Ny mpamorona ny bandit toolkit, izay nampiasaina hijerena ny code, dia naneho ny heviny fa noho ny habetsahan'ny valisoa diso, ny valin'ny scan dia tsy azo heverina ho vulnerability mivantana raha tsy misy famerenana amin'ny tanana fanampiny ny olana tsirairay.
Ohatra, heverin'ny mpandinika ho olana ara-piarovana ny fampiasana ireo mpamokatra nomerao tsy azo ianteherana sy ny algorithm hashing, toy ny MD5, fa ao amin'ny code dia azo ampiasaina amin'ny tanjona tsy misy fiantraikany amin'ny fiarovana ny algorithm toy izany. Heverin'ny mpandinika ihany koa ho olana ny fanodinana ny angona ivelany amin'ny fiasa tsy azo antoka toy ny pickle, yaml.load, subprocess ary eval, saingy tsy voatery ho vulnerable izany fampiasana izany ary raha ny marina dia azo ampiharina tsy misy fandrahonana fiarovana izany fampiasana izany. .
Anisan'ireo fitsapana ampiasaina amin'ny fianarana:
- Mampiasa fiasa mety tsy azo antoka exec, mktemp, eval, mark_safe, sns.
- Fametrahana tsy azo antoka ny zo fidirana amin'ny rakitra.
- Fametrahana faladia tamba-jotra amin'ny seha-pifandraisana rehetra.
- Fampiasana tenimiafina sy fanalahidy voafaritra tsara ao amin'ny kaody.
- Mampiasa lahatahiry vonjimaika efa voafaritra mialoha.
- Fampiasana pass ary tohizo amin'ny mpandrindra fanavahana amin'ny fomba rehetra;
- Fampandehanana ny rindranasa an-tranonkala mifototra amin'ny rafi-tranonkala Flask miaraka amin'ny fomba fandrobana.
- Mampiasa fomba deserialization angona tsy azo antoka.
- Mampiasa asa hash MD2, MD4, MD5 ary SHA1.
- Mampiasa ciphers DES tsy azo antoka sy maody fanafenana.
- Fampiasana fampiharana HTTPSConnection tsy azo antoka amin'ny dikan-teny Python sasany.
- Famaritana ny rakitra: // scheme ao amin'ny urlopen.
- Mampiasa mpamokatra isa pseudorandom rehefa manao asa kriptografika.
- Mampiasa ny protocol Telnet.
- Mampiasa parser XML tsy azo antoka.
Fanampin'izany, azo marihina fa fonosana ratsy 8 no hita tao amin'ny lahatahiry PyPI. Talohan'ny nesorina dia in-30 arivo mahery ny fonosana misy olana. Mba hanafenana ny hetsika maloto sy handosirana fampitandremana avy amin'ireo mpanadihady static tsotra ao anaty fonosana, ny sakana kaody dia nofonosina tamin'ny fampiasana Base64 ary novonoina taorian'ny decoding tamin'ny alΓ lan'ny antso eval.
Ny fonosana noblesse, genesisbot, dia, mijaly, noblesse2 ary noblessev2 dia misy kaody hanakanana ny nomeraon'ny carte de crΓ©dit sy ny tenimiafina voatahiry ao amin'ny navigateur Chrome sy Edge, ary koa ny famandrihana kaonty amin'ny fampiharana Discord ary mandefa angon-drakitra momba ny rafitra, anisan'izany ny pikantsary amin'ny votoatin'ny efijery . Ny fonosana pytagora sy pytagora2 dia nahitana ny fahafahana mameno sy manatanteraka ny code executable an'ny antoko fahatelo.
Source: opennet.ru