Vulnerabilità: CVE-2020-5252

La riga di comando pacchetto ""di sicurezza"" per Python ha un potenziale problema di sicurezza. Ci sono due caratteristiche di Python che permettono codice dannoso per & # 8220; veleno-pillola & # 8221; Della riga di comando routine di rilevazione pacchetto di sicurezza per mascherare o offuscando, altri pacchetti malintenzionati o non sicure. Questa vulnerabilità è considerato di bassa gravità, perché le marche di attacco utilizzano di una condizione Python esistente, non è lo strumento di sicurezza in sé. Ciò può accadere se: Si esegue la sicurezza in un ambiente di Python che don & # 8217; t fiducia. Si esegue sicurezza dallo stesso ambiente di Python dove si hanno le dipendenze installate. pacchetti di dipendenza vengono installati in modo arbitrario o senza verifica adeguata. Gli utenti possono attenuare questo problema effettuando una delle seguenti: Eseguire un’analisi statica con l’installazione di Docker e che funziona sulla sicurezza Docker: $ run finestra mobile –rm -è pyupio / sicurezza di controllo -r requirements.txt Run di sicurezza contro una statica dipendenze lista , ad esempio il file requirements.txt, in un ambiente pulito separata Python. Eseguire sicurezza da un oleodotto Continuous Integration. Usa PyUp.io, che corre per la sicurezza in un ambiente controllato e controlla Python per le dipendenze senza bisogno di installarli. Requisiti online Usa PyUp Checker.


https://github.com/akoumjian/python-safety-vuln
https://github.com/pyupio/safety/security/advisories/GHSA-7q25-qrjw-6fg2
https://pyup.io/posts/patched-vulnerability/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5252


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi