第2回 Pythonの脆弱性 ~ReDOS~ | gihyo.jp
では、なぜこのようなことが起きてしまうのでしょうか。具体的な脆弱性の解説に移る前に、まずはReDoSのしくみについて説明します。 ReDoSのしくみ ReDosの脆弱性を理解するためには、そもそも正規表現によるマッチングを行う処理系である、正規表現エンジンのしくみについて知る必要があります。 正規表現エンジンの概要 正規表現エンジンとは、簡単に言えば「ユーザーから受け取った文字列(入力文字列)が、正規表現で表される文字列と合致するか否か」を判定するプログラムです。そしてこのプログラムのキモとなる「正規表現文字列の解釈」と「入力文字列が合致するか否かを判定する部分」は、「有限オートマトン」を利用して実現しています。 具体的には、正規表現の文字列を有限オートマトンに変換後、入力文字列を有限オートマトンの入力として与え、文字列中に正規表現にマッチする部分があるか否かを、有限オートマトンの状態を
Tarfile: 15年前の脆弱性を悪用
脅威情報 2022.11.18 Trellix Advanced Research Centerでは、ある脆弱性を調査していたところ、Pythonのtarfileモジュールに脆弱性があることを偶然発見しました。当初、私たちは新しいゼロデイ脆弱性を発見したと思っていました。この問題を掘り下げていくうちに、実はこれがCVE-2007-4559であることに気づきました。この脆弱性は、tarfile モジュールの extract および extractall 関数におけるパストラバーサル攻撃であり、攻撃者は TAR アーカイブ内のファイル名に「…」シーケンスを追加することで、任意のファイルを上書きすることが可能です。 この脆弱性の影響を調査する過程で、何十万ものリポジトリがこの脆弱性を受けていることが判明しました。この脆弱性は、当初は6.8とされていましたが、ほとんどの場合、攻撃者がファイル書き込
PyPIで来るWASP |ブログ(ほぼこもセキュリティニュース)|(株)コンステラ セキュリティ ジャパン
PyPIは皆さんご存じのPython Package Indexです。 Python用のソフトウェアリポジトリですね。 そしてWASPはインフォスティーラーマルウェアのオペレータです。 多くの感染が発生していることが確認されています。 似た名前を使って被害者に取り込ませる作戦、タイポスクワッティングを使ってやってきます。 今回確認されたケースでは「apicolor」という名前のソフトウェアをPyPIで公開していました。 apicolorをインストールするとどうなるでしょう。 通常のパッケージと同じインストール手法で始まる 通常、setup.pyがパッケージに含まれます。 これを使ってインストールが始まります。 これは普通のことです。 準備する マルウェアを取り込む活動に必要な追加のPythonのパッケージを読み込みます。 読み込みに失敗する場合はそれを環境にインストールします。 ダウンロー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
