Python – Page 4 – IoT OT Security News

Go と Rust の “net” library に影響する IP アドレス解釈の脆弱性とは？

Go, Rust “net” library affected by critical IP address validation vulnerability

2021/08/07 BleepingComputer — Go や Rust などの言語で使われている “net” library も、混合形式 (mixed-format) の IP アドレス検証の脆弱性の影響を受けている。このバグは、IP アドレスが 8進数と 10進数の混合形式で提供されている場合でも、net library が 10進数として処理することに関係している。その結果として、net に依存するアプリケーションは、サーバー・サイド・リクエスト・フォージェリ (SSRF) およびリモート・ファイル・インクルージョン (RFI) の脆弱性にさらされる可能性がある。この欠陥は、何千ものアプリケーションで使用されている、netmask library の実装にも影響を与えていた。その後に、Python の標準ライブラリである、ipaddress にも脆弱性があることが判明した。

悪意の PyPI パッケージが開発マシンを暗号マイニングマシンに変身させる

Malicious PyPI packages hijack dev devices to mine cryptocurrency

2021/06/22 BleepingComputer — 今週のこと、複数の悪意のパッケージが PyPI の Python Project リポジトリに取り込まれ、開発者のワークステーションを暗号マイニング・マシンに変えてしまった。すべての悪意のパッケージは、同じアカウントで公開されており、正規の Python Project 名を誤魔化して使うことで、開発者を騙して何千回もダウンロードさせてた。

Python の公式レポジトリ PyPI にスパム・パッケージが隠れている

Spammers flood PyPI with pirated movie links and bogus packages

2021/05/21 BleepingComputer — Python ソフトウェア・パッケージの公式レポジトリである PyPI に、スパム・パッケージが殺到していると、BleepingComputer は認識している。これらのスパム・パッケージは、海賊版コンテンツを扱う Torrent や Warez などに見られるスタイルと同様に、さまざまな映画の名前が付けられている。また、それぞれが、固有の偽名のメンテナー・アカウントにより投稿されているため、PyPI によるパッケージとスパム・アカウントの一括削除が困難になっている。

M	T	W	T	F	S	S
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31