Python製HTTPライブラリー「h11」に緊急の脆弱性 即時対応を
セキュリティニュースメディアの「SecurityOnline」は2025年4月27日(現地時間)、Python実装のHTTP/1.1プロトコルライブラリーである「h11」に深刻な脆弱(ぜいじゃく)性が存在することを報じた。これを悪用することで、リクエストスマグリング攻撃を実行される可能性がある。 CVSS9.1のクリティカル脆弱性発覚 h11利用者は即時更新を 修正対象となっている脆弱性は以下の通りだ。 CVE-2025-43859: リクエストスマグリングの脆弱性。Python製のHTTP/1.1ライブラリー「h11」において、チャンク転送エンコーディング処理の際に行終端子の検証が不十分である問題が存在する。悪意あるユーザーが細工したリクエストを送信すると、プロキシサーバとh11ライブラリー間でHTTPリクエストの解釈に不整合が生じ、意図しないリクエストを通過させたり、セッション情報が漏
PIP Package 依存関係エラーの調査例を詳しく解説しました - Qiita
依存関係、わかりませんよね?? オープンソースがオープンソースに無限に依存している昨今、依存関係に悩まされることは日常茶飯事です。駆け出しの方は調査方法すらわからないと思うので、この記事を書いてみました。1年以上前に書いたので内容は古いですが、調査方法は今も変わりません。これはpythonですが、他の言語でもだいたい同じだと思います。誰かの参考になることを願ってここに記します。 なお、この問題は たった1行 の修正で直りました。しかしその1行にたどり着くまで、こんな行程があったんだよという参考にもしてほしいです。 調査フロー 一口に調査といっても、その過程には様々な内容が含まれています。簡単に言えば、今知りたいのは「直す方法」です。しかしその過程にはこのような要素が含まれます。 原因の仮設を立てる 被疑者(エラーを起こす張本人)を建てる 犯人の証拠を掴む 修正方法の決定 この記事には、 "
Enabling Faster Python Authoring With Wasabi
This article was written by Omer Dunay, Kun Jiang, Nachi Nagappan, Matt Bridges and Karim Nakad. MotivationAt Meta, Python is one of the most used programming languages in terms of both lines of code and number of users. Everyday, we have thousands of developers working with Python to launch new features, fix bugs and develop the most sophisticated machine learning models. As such, it is important
プライベートのPythonライブラリプロジェクトで使っているもの・工夫している点・検討している点などを徒然とまとめてみる - Qiita
個人的に趣味(技術的盆栽1)で作っていっているPythonライブラリで使っているLintやサービスであったり、工夫している点や今後検討している点などを色々まとめていこうと思います。 ※1人でプライベートにちまちまと進めているのでまだまだ理想的ではない部分も多く、その辺は今後検討している点として触れていきます。「この頃はこんな感じになっていた」と個人的に将来振り返る時のためにも使います。 ※本記事はQiitaのイベント開始前に少しずつ書き始めていたのですが、GitHub Actionsも絡んでいるのとGitHub Actionsのイベントテーマが設定されていたので折角なのでイベント用のタグを設定させていただいています。 どんなライブラリなのか 各種説明をスムーズにするために軽く対象ライブラリの内容に触れておきますが、Pythonである程度フロントエンドを書けるようにしたい・・・と思い作り始め
PyCon US 2022でCommunity Service Awardsを受賞してきました
鈴木たかのり@PyCon JP Associationです。 以前、以下のブログで報告していたCommunity Service Awardsですが、先日開催されたPyCon US 2022で盾を受け取ってきたり、PSFのブログで紹介されたので追加の報告です。 PyCon JP Blog: PyCon JP AssociationがPSFのCommunity Service Awardに選ばれました🎉 Community Service Awardsとは、PSF(Pythonソフトウェア財団)が「Pythonコミュニティに対して利益がある活動をしている個人、団体」に対して表彰する制度です。3カ月に1回選考がPSFの理事によって行われ、2021年12月の回でPyCon JP Associationの現理事5名の受賞が決まりました。 以下のページに理事5名の名前が載っています。 またPSFの
Pythonの古いパッケージ、乗っ取られて情報窃取の機能が追加されていた
人気の高いプログラミング言語であるPythonには、膨大な量のパッケージコレクションが存在している。開発者はこうしたパッケージコレクションを通じて、開発に必要な機能を取得して利用している。パッケージコレクションアップデートも簡単に行え、開発において欠かすことのできない機能となっている。 しかし最近では、この機能がサイバー犯罪者に悪用されるケースが出てきている。パッケージを通じてマルウェアへの感染を促すケースから、情報窃取を行うケースまでさまざまだ。開発者はパッケージコレクションに登録されているパッケージは安全なものと認識しているが、実際にはこのようにリスクの高い「偽のパッケージ」が含まれていることがしばしば指摘されるようになってきている。 SANS Internet Storm Centerが5月24日(米国時間)、「ctx Python Library Updated with "Ext
【Python】話題の音声認識ツールキット Vosk を試してみた - Qiita
はじめに こちらの記事はZennにも投稿しています。 たまたまTLで見かけたので試してみました。結果から言うとすごく簡単、触っていておもしろかったです。 What is Vosk? 20言語以上に対応した音声認識ツールキット。言語モデルが50MBと軽く、組み込みがしやすいです。1 PythonはもちろんのことNode.jsやJava, C#でも実装可能。ラズパイ/iOS/Android用のビルド、Websocketサーバまで用意されているという準備の良さです。 なおM1 Macには非対応です。 詳しくは Vosk のリファレンスで。 サンプル音声の準備 まずは音源の準備をします。フリーの素材がないかと探していたところ こえやさん と言うサイトを見つけたので今回はこちらのファイルを拝借。 Voskのページをみると、しれっと以下のような記載があったのでffmpegで変換します。 When us
Introducing Accelerated PyTorch Training on Mac
by PyTorch In collaboration with the Metal engineering team at Apple, we are excited to announce support for GPU-accelerated PyTorch training on Mac. Until now, PyTorch training on Mac only leveraged the CPU, but with the upcoming PyTorch v1.12 release, developers and researchers can take advantage of Apple silicon GPUs for significantly faster model training. This unlocks the ability to perform m
FastAPIとPythonの型ヒントが反映されたDocker環境を作ってそこにVS CodeのRemote Containerから接続する構築手順(2022年版) - Qiita
FastAPIとPythonの型ヒントが反映されたDocker環境を作ってそこにVS CodeのRemote Containerから接続する構築手順(2022年版)PythonDockerdockerfileFastAPIRemote-Containers 1. はじめに FastAPIの開発環境をPythonの型付け(型ヒント)の恩恵を厳し目に受けながら開発したい。 そしてそれらの設定が反映されたDockerの開発環境をつくってホストの環境を汚さないようにしたい。 さらにVS CodeのRemote Containerを使うことでDockerの開発環境に接続して開発できる状態にしたい。 という動機から始まっています。 1-1.背景 上記を実現するためにFastAPIの環境構築について調査していると、「個人的にこの設定がスタンダートな最小構成だよね」をまとめるに苦労したのでこの際まとめてお
クラウド型モバイルPOSシステムのポスタスがテックリード(フルスタックエンジニア)を募集!
クラウド型モバイルPOSシステムのポスタスがテックリード(フルスタックエンジニア)を募集! ポスタス株式会社 @postas I want to hear a detailed 仕事内容 『POS+(ポスタス)』(タブレットPOSサービス)の開発部門にて、技術力で開発メンバーをリードする役割を担っていただきます。新しい技術を取り入れることが目的ではでなく、継続的、安定した自社サービスの提供において、利益を最大化することを考えられる方を求めています。コアサービスの改善、新規サービスの提案を推進し、若手エンジニアの教育も担っていただきます。 ◆具体的な仕事内容 ・提供中サービスの価値最大化(コスト削減/機能改善/導入増に伴うパフォーマンス改善) ・新規サービス開発提案(インフラ/ミドル/サービスの設計/実装) ・エンジニアの教育(モダン技術/技術基礎のハンズオン) ◆具体例 ・カスタマイズを伴
Writing and publishing a Python module in Rust
Procmaps? procmaps is an extremely small Python library, backed by a similarly small Rust library2. All it does is parse “maps” files, best known for their presence under procfs on Linux3, into a list of Map objects. Each Map, in turn, contains the basic attributes of the mapped memory region. By their Python attributes: import os import procmaps # also: from_path, from_str # N.B.: named map_ inst
Monitoring your Flask application using OpenTelemetry
Ankit Anand ✨ for SigNoz Posted on Nov 20, 2021 • Originally published at signoz.io In this article, we will use OpenTelemetry to instrument a sample Flask app. Flask is one of the most popular web application frameworks of Python. It consists of Werkzeug WSGI toolkit and Jinja2 template engine. Instrumentation is one of the biggest challenge engineering teams face when starting out with observabi
管理者権限がない環境(Windows)でPythonを導入する方法 - Qiita
経緯 (2021/11/15時点) 必要最低限の事務PCしかない状況で、pythonで業務の効率化などを進めたいと思い、試したものを以下にまとめる。模索して出来たことを記載していきます。 前提として、使用できるHDD容量が多くあると良い。例えば、事務PC以外にファイルサーバが与えられていること。 目次 WinPythonをインストール pythonが使えるか確認 pipのアップデート 例として、openpyxlのインストール 詳細 1.WinPythonをインストール WinPythonのページにアクセスする。 今回は3.9.5.0をダウンロードするため、3.9.5.0近くに記載されている以下のSourceForgeをクリックする。 「WinPython 3.9 Downloads (**) via SourceForge and Github」 場合に応じて、以下のどちらかをダウンロード
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PyPi python packages caught sending stolen AWS keys to unsecured sites
Frelatage - The Python Fuzzer That The World Deserves
Machine Learning Framework PyTorch Enabling GPU-Accelerated Training on Apple Silicon Macs
Redirecting
Python script to detect if an HTTP server is potentially vulnerable to the log4j 0day RCE (https://www.lunasec.io/docs/blog/log4j-zero-day/)
fsspec: Filesystem interfaces for Python — fsspec 2024.6.0.post1+g8be9763.d20240613 documentation
How to build, test and publish an open source Python library