• : info@idnsa.id
IDNSA
  • Beranda
  • Agenda
  • Literasi Digital
    Test Mandiri IDNSA secure school program
  • Webinar
  • Galeri
  • Tentang Kami
Masuk / Daftar
  1. Home
  2. Article
  3. Bug di work-flow GitHub untuk sumber repositori PyPI
Like

  • 0
Bookmark

Share

  • 749

Bug di work-flow GitHub untuk sumber repositori PyPI

scofield
3 years ago

idNSA.id - Peneliti keamanan RyotaK mengungkapkan tiga kelemahan di PyPI, yang paling parah berpotensi menyebabkan kompromi seluruh infrastruktur PyPI.

 

Python Package Index (PyPI) adalah repositori perangkat lunak pihak ketiga resmi untuk Python. PyPI sebagai indeks memungkinkan pengguna untuk mencari paket dengan kata kunci atau filter terhadap metadata, seperti lisensi perangkat lunak bebas atau kompatibilitas dengan POSIX.

 

Cacat tersebut memengaruhi work-flow combine-prs.yml di pypa/warehouse, yang menyertakan kode sumber PyPI saat ini.

 

Work-flow ini memungkinkan untuk mengumpulkan pull request yang memiliki nama branch yang dimulai dengan dependabot dan menggabungkannya menjadi satu pull request. Work-flow gagal memverifikasi pembuat pull request, ini berarti siapa pun dapat membuat pull request  dengan nama tertentu dan memiliki work-flow untuk memprosesnya.

 

Work-flow tidak memverifikasi pembuat pull request, siapa pun dapat membuat pull request  dengan nama tertentu dan memiliki work-flow untuk memprosesnya. RyotaK menunjukkan bahwa masih tidak mungkin untuk mengeksekusi kode karena work-flow hanya menggabungkan pull request dan hasilnya ditinjau oleh operator manusia yang dapat mendeteksi dan membuang kode berbahaya apa pun.

 

RyotaK menemukan cacat dalam kode yang digunakan untuk mencetak daftar branch pull request, masalah ini dapat dieksploitasi untuk menjalankan perintah dan membocorkan Token Akses GitHub dengan izin menulis terhadap repositori/warehouse pypa.

 

Prosedur langkah demi langkah untuk mengeksekusi kode arbitrer di pypi.org dapat di cek pada postingan ini. Pakar melaporkan kerentanan ini ke tim keamanan Python yang memperbaikinya. Dalam pembaruan yang diberikan pada 31 Juli, peneliti @mrtc0  menjelaskan bahwa prosedur serangan di atas tidak berfungsi. RyotaK setuju dan memberikan prosedur berikutnya.

 

Kerentanan yang ditemukan oleh pakar dapat berdampak signifikan pada ekosistem Python, pakar menyoroti risiko supply chain attack.


Label : Cyber Security News Flaws Bugs PyPi

Artikel Terkait :

Tidak adanya mekanisme Bluetooth Low Energy (BLE)...
Pembeli Data Pribadi WeLeakInfo ditangkap polisi
Miliaran catatan pengguna Clubhouse dan Facebook d...
Serangan siber pada satelit Rusia adalah tindakan...
IdNSA

IdNSA - Indonesia Network Security Association

Bandung Techno Park Kawasan Pendidikan Telkom
Jl. Telekomunikasi, Sukapura, Kec. Dayeuhkolot, Bandung, Jawa Barat 40257, Indonesia

Phone : (022) 88884200 Ext 203

  • : info@idnsa.id

Privacy Policy - Term and Condition

- IdNSA