Python製Webフレームワークの脆弱性を報告したはずが、Pythonの脆弱性を見つけていた話 - ラック・セキュリティごった煮ブログ
はじめに こんにちは。セキュリティアセスメント部の山根です。 ごった煮ブログの執筆者はデジタルペンテスト部のメンバーが多いですが、私はセキュリティアセスメント部の所属であり、普段はWebアプリケーションの脆弱性診断をやっています。脆弱性を見つけるのが好きで、プライベートでも脆弱性を探しています。 弊社には「IPA経由で脆弱性を報告すると報奨金がもらえる」という素晴らしい福利厚生が存在するため、脆弱性調査のモチベーションが高まります! さて、今回2つの脆弱性を発見したのですが、脆弱性が公表されるに至った経緯が興味深いものだったので紹介していきます。 CVE-2023-40587: Pyramid におけるディレクトリトラバーサルの脆弱性 CVE-2023-41105: Python における信頼性のない検索パスの脆弱性 CVE-2023-40587の発見 調査対象 最近はWebフレームワーク
【セキュリティ ニュース】「Python」のURL解析に脆弱性 - ブロックリスト回避のおそれ(1ページ目 / 全1ページ):Security NEXT
「Python」においてURLの解析に広く利用される標準ライブラリ「urllib.parse」の既知の脆弱性について注意が呼びかけられている。 空白文字で始まるURLにおいてブロックリストメソッドを回避できる脆弱性「CVE-2023-24329」について、CERT/CCが注意を呼びかけたもの。ホスト名、スキームの双方において影響を受ける。 ブラックリストにあるドメインやプロトコルのフィルタリングをバイパスし、本来アクセスが制限されるべきサイトへのアクセスやプロトコルを指定した制限などを回避することが可能。任意のファイルの読み取り、任意のコマンドの実行、サーバサイドリクエストフォージェリ(SSRF)などにつながるおそれもある。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」、重要度は4段階中2番目に
不正なPythonパッケージをPyPIに44個発見、利用の有無の確認を
Check Point Software Technologiesは6月16日(米国時間)、「PyPI Suspends New Registrations After Malicious Python Script Attack」において、PyPI (Python Package Index)リポジトリに悪意のあるパッケージが複数あることを伝えた。「DreamyOakXTimmywag」と呼ばれる作成者により、44もの不正なパッケージがリポジトリに追加されていたことが明らかになった。 PyPI Suspends New Registrations After Malicious Python Script Attack 特定された44の不正なPyPIパッケージは次のとおり。 sys-scikit-learn 17.8.18 sqlalchemy-requests 7.1.1 sqlalc
PyPIにHTTPライブラリ装った偽のPythonパッケージ41個発見
ReversingLabsは2月22日(米国時間)、「Developers beware: Imposter HTTP libraries lurk on PyPI」において、PyPIリポジトリにHTTPライブラリを装った悪意ある41個のPythonパッケージを確認したと伝えた。これはサイバー攻撃者がPyPI、npm、GitHubなどのオープンソースリポジトリを悪用してマルウェアを配布しようとする最新の試みと説明されている。 Developers beware: Imposter HTTP libraries lurk on PyPI 発見された悪意あるパッケージは、主に次の2つのタイプの悪意あるモジュールになっていると指摘されている。 侵害したシステムに第2段階のマルウェアを配信するダウンローダとして機能する データ窃取を行うための情報スティーラとして機能する ReversingLabs
Trellix、61,000のオープンソース・プロジェクトに脆弱性パッチを適用
組織のセキュリティ対策 2023.1.26 昨年(2022年)末、Trellix Advanced Research Centerチームは、Pythonのtarfileモジュールに脆弱性があることを発見しました。この脆弱性は、15年前に発見されたCVE-2007-4559で、攻撃者が任意のファイルを上書きすることができる可能性があるものでした。CVE-2007-4559は、2007年にPythonプロジェクトに報告され、チェックされないまま、推定35万件のオープンソースプロジェクトに意図せず追加され、クローズドソースプロジェクトにも広く浸透していました。 本日(2023年1月23日)、この作業に関する最新情報をお伝えします。GitHubを通じて、当社の脆弱性調査チームは、以前からこの脆弱性の影響を受けていた61,895のオープンソースプロジェクトにパッチを適用しました。この作業は、Kasi
第2回 Pythonの脆弱性 ~ReDOS~ | gihyo.jp
では、なぜこのようなことが起きてしまうのでしょうか。具体的な脆弱性の解説に移る前に、まずはReDoSのしくみについて説明します。 ReDoSのしくみ ReDosの脆弱性を理解するためには、そもそも正規表現によるマッチングを行う処理系である、正規表現エンジンのしくみについて知る必要があります。 正規表現エンジンの概要 正規表現エンジンとは、簡単に言えば「ユーザーから受け取った文字列(入力文字列)が、正規表現で表される文字列と合致するか否か」を判定するプログラムです。そしてこのプログラムのキモとなる「正規表現文字列の解釈」と「入力文字列が合致するか否かを判定する部分」は、「有限オートマトン」を利用して実現しています。 具体的には、正規表現の文字列を有限オートマトンに変換後、入力文字列を有限オートマトンの入力として与え、文字列中に正規表現にマッチする部分があるか否かを、有限オートマトンの状態を
ソフトウェア サプライ チェーンの攻撃対象領域を制限
脅威情報 2022.11.18 行動の意図が重要であることはよく議論されますが、なぜそれが重要なのでしょうか。例えば私が携帯電話に気を取られながら歩道を歩いていて、街灯にぶつかったとしたら、私は怪我をするかもしれませんが、そこには悪意はなく、また誰かによって行われた行為でもありません。これに対して、私が同じように携帯電話を見て気を取られながら歩いているときに、誰かが私を街灯に突き飛ばし、その結果私が怪我をしたとしたら、私たちはすぐにその加害者を非難するでしょう。しかし、結果は同じで、私は怪我をしたということに変わりはありません。同じ観点からみていきましょう。 攻撃者が悪意を持ってソース コードを変更し、悪名高いSolarWindsやCodecovなどのソフトウェア サプライ チェーン攻撃を実行する場合、影響と悪意を即座に認識します。しかし、コアとなるフレームワークやライブラリに存在する脆弱
Tarfile: 15年前の脆弱性を悪用
脅威情報 2022.11.18 Trellix Advanced Research Centerでは、ある脆弱性を調査していたところ、Pythonのtarfileモジュールに脆弱性があることを偶然発見しました。当初、私たちは新しいゼロデイ脆弱性を発見したと思っていました。この問題を掘り下げていくうちに、実はこれがCVE-2007-4559であることに気づきました。この脆弱性は、tarfile モジュールの extract および extractall 関数におけるパストラバーサル攻撃であり、攻撃者は TAR アーカイブ内のファイル名に「…」シーケンスを追加することで、任意のファイルを上書きすることが可能です。 この脆弱性の影響を調査する過程で、何十万ものリポジトリがこの脆弱性を受けていることが判明しました。この脆弱性は、当初は6.8とされていましたが、ほとんどの場合、攻撃者がファイル書き込
PyPIで来るWASP - テリロジーワークス
PyPIは皆さんご存じのPython Package Indexです。 Python用のソフトウェアリポジトリですね。 そしてWASPはインフォスティーラーマルウェアのオペレータです。 多くの感染が発生していることが確認されています。 似た名前を使って被害者に取り込ませる作戦、タイポスクワッティングを使ってやってきます。 今回確認されたケースでは「apicolor」という名前のソフトウェアをPyPIで公開していました。 apicolorをインストールするとどうなるでしょう。 通常のパッケージと同じインストール手法で始まる 通常、setup.pyがパッケージに含まれます。 これを使ってインストールが始まります。 これは普通のことです。 準備する マルウェアを取り込む活動に必要な追加のPythonのパッケージを読み込みます。 読み込みに失敗する場合はそれを環境にインストールします。 ダウンロー
開発者をターゲットにしたマルウェア「W4SP」がPyPIの悪意あるパッケージに仕込まれていることが明らかに
プログラミング言語「Python」のリポジトリである「Python Package Index(PyPI)」の20以上のパッケージに、情報を盗むマルウェア「W4SP」が含まれていることが分かりました。 Phylum Discovers Dozens More PyPI Packages Attempting to Deliver W4SP Stealer in Ongoing Supply-Chain Attack https://blog.phylum.io/phylum-discovers-dozens-more-pypi-packages-attempting-to-deliver-w4sp-stealer-in-ongoing-supply-chain-attack セキュリティ企業のPhylumによると、新たに公開された数十のPyPIパッケージの中に、Python開発者のマシンに
Pythonの15年間見過ごされてきた脆弱性が30万件以上のオープンソースリポジトリに影響を与える可能性
プログラミング言語のPythonで、2007年に存在が公開されたものの修正されなかったバグが再発見されました。任意コード実行可能な脆弱性にもつながるこのバグの影響は、コーディング自動化ツールを介してさまざまなプロジェクトに広まっており、修正するべきオープンソースリポジトリが35万件以上にも及ぶと指摘されています。 Tarfile: Exploiting the World With a 15-Year-Old Vulnerability https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/tarfile-exploiting-the-world.html Tarfile: Exploiting the World With a 15-Year-Old Vulnerability https://www.trell
AWS認証情報が盗まれる2つのライブラリ改ざんについてまとめてみた - piyolog
2022年5月24日(米国時間)、SANS ISCのフォーラムでPython向けライブラリの1つ(その後PHP向けライブラリでも判明)が第三者により不正なコードを含むアップデートが行われていたとして注意を呼び掛ける投稿が行われました。その後この行為に関わっていたとして実行者とみられる人物が顛末を公開しました。ここでは関連する情報をまとめます。 改ざんされた2つのライブラリ 今回影響が確認されたのPython Package Index(Pypi.org)で公開されている「ctx」、Packagist(Packagist.org)で公開されている「PHPass」の2つ。 影響を受けたライブラリ インストール実績 改ざんされたとみられる期間 概要 ctx 約75万回 2022年5月14日~5月24日頃 辞書(dict型オブジェクト)を操作するユーティリティを提供するPython向けのパッケージ
Pythonの古いパッケージ、乗っ取られて情報窃取の機能が追加されていた
人気の高いプログラミング言語であるPythonには、膨大な量のパッケージコレクションが存在している。開発者はこうしたパッケージコレクションを通じて、開発に必要な機能を取得して利用している。パッケージコレクションアップデートも簡単に行え、開発において欠かすことのできない機能となっている。 しかし最近では、この機能がサイバー犯罪者に悪用されるケースが出てきている。パッケージを通じてマルウェアへの感染を促すケースから、情報窃取を行うケースまでさまざまだ。開発者はパッケージコレクションに登録されているパッケージは安全なものと認識しているが、実際にはこのようにリスクの高い「偽のパッケージ」が含まれていることがしばしば指摘されるようになってきている。 SANS Internet Storm Centerが5月24日(米国時間)、「ctx Python Library Updated with "Ext
pymafka? - テリロジーワークス
PyKafkaというものがあります。 Apache Kafkaというスケーラビリティに優れた分散メッセージキューがあるのですが、この機構のPython用のクライアント動作ができるモジュールです。 じゃ、pymafkaってなんでしょう。 はい、PyKafkaのタイポスクワッティングです。 うろ覚えの人を誘い込みます。 セキュリティ研究者に比較的早期に発見されPyPIに報告がされた関係でこのタイポスクワッティングの公開は早々に削除されました。 しかし削除される前に約300のダウンロードが実行されてしまいました。 感染するとどうなるのでしょう。 こういう感じです。 pipでインストール パッケージ名をうろ覚えのひとがPyKafkaを入れるつもりで誤って「pip install pymafka」などと実行します。 公開が停止されていない段階の場合、これでそのパッケージは手元に持ってこられ、インスト
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Python」にセキュリティ更新 ~v3.11.5、v3.10.13、v3.9.18、v3.8.18が公開/次期バージョン「Python 3.12」の開発は順調
「Python」にセキュリティアップデート ~CVE番号ベースで5件の脆弱性を修正/v3.11.1、v3.10.9、v3.9.16、v3.8.16、v3.7.16が公開
Python の脆弱性情報(Important: CVE-2022-42919) - SIOS SECURITY BLOG
「Python」にセキュリティアップデート ~4件の脆弱性を修正/v3.10.8、v3.9.15、v3.8.15、v3.7.15が公開
「Python」に定例外のセキュリティアップデート/v3.10.7、v3.9.14、v3.8.14、v3.7.14が公開
「Python 3.9.13」が公開、シリーズ最後のバグフィックスリリース/次期バージョン「Python 3.11」の開発は順調
