זיכערהייט ינסאַדאַנץ אין PyPI און crates.io ריפּאַזאַטאָריז

די דעוועלאָפּערס פון די פּיטהאָן פּעקעדזש אינדעקס רעפּאָזיטאָרי PyPI האָבן געמאָלדן אַ זיכערהייט פּראָבלעם אין דער אימפּלעמענטאַציע פון ​​דער "אָרגאַניזאַציע מאַנשאַפֿט" פֿונקציע, וואָס דערמעגלעכט איר צו שאַפֿן אַ מאַנשאַפֿט פון עטלעכע דעוועלאָפּערס וואָס אַרבעטן צוזאַמען אויף אַ פּראָיעקט אין PyPI. די עסענץ פון די אידענטיפיצירטע פראבלעמען איז אז די פריווילעגיעס וואס זענען דעלעגירט געווארן צום באניצער אלס א מיטגליד פון דער "ארגאניזאציע מאַנשאַפֿט" זענען געבליבן נאכדעם וואס דער באניצער איז ארויסגענומען געווארן פון דער ארגאניזאציע. די שוואַכקייט אין PyPI איז געוואָרן פאַרריכט 2 שעה נאָכדעם וואָס די פּראָבלעם איז געמאָלדן געוואָרן. די דורכגעפירטע אוידיט האט נישט אַנטפּלעקט קיין נישט-אָטעריזירטע אַקציעס פֿאַרבונדן מיט דער נוצן פון נישט-אָפּגערופֿן צוטריט רעכטן.

א זיכערהייט אינצידענט איז אויך געמאלדן געווארן דורך די דעוועלאָפּערס פון די crates.io רעפּאָזיטאָרי, דורך וועלכע פּאַקאַדזשאַז אין דער ראַסט שפּראַך ווערן פאַרשפּרייט. אין דער crates.io אינפראַסטרוקטור, ווען ערראָרס פּאַסירן אויף דער באַקענד זייט, ווערט אינפֿאָרמאַציע וועגן די ריקוועסץ וואָס זענען פּראַסעסט געוואָרן אין דער צייט ווען די פּראָבלעם איז געשען געשיקט צום סענטרי מאָניטאָרינג סערוויס. די פראבלעם איז פארבונדן מיט דעם פאקט אז צווישן די געשיקטע דאטן איז געווען א פעלד מיטן אינהאלט פון די קוקי "cargo_session", וואס האט אנטהאלטן א סעסיע שליסל וואס אידענטיפיצירט דעם באנוצער. אַן אויסערליכער וואָס האָט באַקומען דעם שליסל קען דורכפירן יעדע אַקציע אין דעם באַניצער'ס נישט-פאַרטיקער סעסיע.

עס ווערט באַמערקט אַז צוטריט צו סערווער סענטרי מאָניטאָרינג איז נאָר געווען בנימצא פֿאַר אויסגעקליבענע מאַנשאַפֿט מיטגלידער וואָס האַלטן די פּראָיעקט אינפֿראַסטרוקטור און די crates.io רעפּאָזיטאָרי, וועלכע האָבן שוין פּריווילעגירט אַקסעס צו די crates.io פּראָדוקציע סערווערס. עס איז נישט געווען קיין באַווייַז אַז די סעסיע שליסלען וואָס זענען געבליבן אין די לאָגס זענען געניצט געוואָרן. נאָכדעם וואָס די פּראָבלעם איז געוואָרן סאַלווד, זענען אַזעלכע קיכלעך אַוועקגענומען געוואָרן פֿון אַלע סענטרי געשעעניש רעקאָרדס, און די אַקטיווע באַניצער סעסיעס וואָס זענען פֿאַרבונדן מיט זיי זענען געענדיקט געוואָרן.

מקור: opennet.ru

קויפן פאַרלאָזלעך האָסטינג פֿאַר זייטלעך מיט DDoS שוץ, VPS VDS סערווערס 🔥 קויפט פאַרלעסלעכע וועבזייטל האָסטינג מיט DDoS שוץ, VPS VDS סערווערס | ProHoster