?聚焦源代碼安全，網羅國內外最新資訊！

編譯：代碼衛士

YAML 的機構和驗證工具 Yamale 中存在一個高危的代碼注入漏洞，可被攻擊者用于執行任意 Python 代碼。

該漏洞的編號是CVE-2021-38305（CVSS評分7.8），涉及操縱以工具輸入形式提供的架構文件，規避保護措施并實現代碼執行。具體而言，該問題位于架構解析函數中，可評估和執行傳遞的任意輸入，從而導致架構內特殊構建的字符串被濫用于注入系統命令。

Yamale 是一個Python 包，可使開發人員從命令行驗證 YAML（通常用于寫配置文件的數據序列化語言）。GitHub 上至少有224個倉庫都在使用該包。

JFROG 安全公司的首席技術官 Asaf Karas 表示，“該漏洞可使能夠提供輸入架構文件的攻擊者執行 Python 代碼注入，從而導致以 Yamale 進程權限執行代碼。我們建議大規模清理進入 eval() 的任意輸入，最好是用更具體的API替代 eval() 調用。“

漏洞披露后，已在 Yamale 版本3.0.8 中修正。Yamale 維護人員在8月4日的發布說明中指出，“本次發布修復了一個漏洞，格式良好的架構文件可在運行 Yamale 的系統上執行任意代碼。“

這是JFrog 在 Python 包中最近發現的一個安全問題。2021年6月，Vdoo 在 PyPi 倉庫中發現了被typosquat的包，該包下載并執行第三方密幣挖礦機如 T-Rex、ubqminer 或 PhoenixMiner，挖掘受陷系統上的以太坊和 Ubiq。

之后，JFrog 安全團隊發現了其它8個惡意Python包，其下載次數不少于3萬次，可被用于在目標機器上執行遠程代碼、收集系統信息、嗅探信用卡信息和自動存儲在 Chrome 和 Edge 瀏覽器中的密碼，甚至竊取 Discord 認證令牌。

研究人員指出，“軟件包倉庫正在稱為供應鏈攻擊的流行目標，流行倉庫如 npm、PyPI 和 RubyGems 遭惡意軟件攻擊。有時惡意包被上傳到包倉庫中，使惡意人員有機會利用這些倉庫傳播病毒并成功攻擊管道中的開發人員和CI/CD機器。”

---

推薦閱讀

Python 官方軟件庫 PyPI 遭垃圾軟件包洪水攻擊

Python 緊急修復遠程代碼執行漏洞

人生苦短，黑客也首選 Python

原文鏈接

https://thehackernews.com/2021/10/code-execution-bug-affects-yamale.html

題圖：Pixabay License

本文由奇安信編譯，不代表奇安信觀點。轉載請注明“轉自奇安信代碼衛士 https://codesafe.qianxin.com”。

奇安信代碼衛士 (codesafe)

國內首個專注于軟件開發安全的產品線。

? ??覺得不錯，就點個?“在看” 或 "贊” 吧~

總結

以上是生活随笔為你收集整理的Yamale Python 包受高危的代码执行漏洞影响的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。