Група истраживача са Универзитета Турку (Финска) објавила је резултате анализе пакета у ПиПИ репозиторијуму за коришћење потенцијално опасних конструкција које би могле да доведу до рањивости. Током анализе 197 хиљада пакета, идентификовано је 749 хиљада потенцијалних безбедносних проблема. 46% пакета има бар један такав проблем. Међу најчешћим проблемима су недостаци који се односе на руковање изузетцима и коришћење функција које омогућавају замену кода.
Од 749 хиљада идентификованих проблема, 442 хиљаде (41%) је означено као мањи, 227 хиљада (30%) као умерени проблеми и 80 хиљада (11%) као опасни. Неки пакети се издвајају из гомиле и садрже хиљаде проблема: на пример, ПиГГИ пакет је идентификовао 2589 проблема, углавном повезаних са употребом конструкције „покушај-изузев-прођи“, а аппенгине-сдк пакет је пронашао 2356 проблема. Велики број проблема је такође присутан у пакетима гение.либс.опс, пбцоре и гение.либс.парсер.
Треба напоменути да су резултати добијени на основу аутоматизоване статичке анализе, која не узима у обзир контекст примене појединих структура. Програмер бандит алата, који је коришћен за скенирање кода, изразио је мишљење да се због прилично великог броја лажних позитивних резултата, резултати скенирања не могу директно сматрати рањивостима без додатног ручног прегледа сваког проблема.
На пример, анализатор сматра да је употреба непоузданих генератора случајних бројева и алгоритама за хеширање, као што је МД5, безбедносни проблем, док се у коду такви алгоритми могу користити у сврхе које не утичу на безбедност. Анализатор такође сматра проблемом било какву обраду спољних података у несигурним функцијама као што су пицкле, иамл.лоад, субпроцесс и евал, али ова употреба не укључује нужно рањивост и у ствари коришћење ових функција може бити имплементирано без безбедносне претње .
Међу тестовима коришћеним у студији:
- Коришћење потенцијално небезбедних функција екец, мктемп, евал, марк_сафе, итд.
- Небезбедно подешавање права приступа датотекама.
- Прикључивање мрежне утичнице на све мрежне интерфејсе.
- Коришћење лозинки и кључева стриктно наведених у коду.
- Коришћење унапред дефинисаног привременог директоријума.
- Коришћење пролаза и настављања у обрађивачима изузетака у стилу цатцх-алл;
- Покретање веб апликација заснованих на Фласк веб оквиру са омогућеним режимом за отклањање грешака.
- Коришћење небезбедних метода десериализације података.
- Користи МД2, МД4, МД5 и СХА1 хеш функције.
- Коришћење несигурних ДЕС шифрова и режима шифровања.
- Коришћење несигурне имплементације ХТТПСЦоннецтион у неким верзијама Питхон-а.
- Одређивање филе:// шеме у урлопен.
- Коришћење генератора псеудослучајних бројева при обављању криптографских задатака.
- Коришћење Телнет протокола.
- Коришћење несигурних КСМЛ парсера.
Поред тога, може се приметити да је у ПиПИ директоријуму откривено 8 злонамерних пакета. Пре уклањања, проблематични пакети су преузети више од 30 хиљада пута. Да би се сакрила злонамерна активност и заобишла упозорења од једноставних статичких анализатора у пакетима, блокови кода су кодирани помоћу Басе64 и извршени након декодирања помоћу евал позива.
Пакети ноблессе, генесисбот су, суффер, ноблессе2 и ноблессев2 садрже код за пресретање бројева кредитних картица и лозинки ускладиштених у Цхроме и Едге прегледачима, као и за пренос токена налога из апликације Дисцорд и слање системских података, укључујући снимке екрана садржаја екрана. Пакети питагора и питагора2 су укључивали могућност учитавања и извршавања извршног кода треће стране.
Извор: опеннет.ру