03.08.2022

PYPI PAKETLERINDE BEKDOR ÝÜZE ÇYKARYLDY

PyPI paketlerinde «request» atly zyýanly baglylygyň bolmagy sebäpli «keep», «pyanxdns», «api-res-py» paketleri bekdor saklaýarlar.

«Keep» paketiniň köp sanly wersiýalary HTTP-ýüzlenmeleri ýerine ýetirmek üçin Python modulyň ýüzlenmelerini (requests) ulanýarlar, «keep» paketiň v.1.2 wersiýasy «request» (-s goşulmasyz) saklaýar, bu bolsa zyýanly programma üpjünçiligi bolup durýar. Zyýanly «request» baglylygy PyPI paketleriniň «pyanxdns» we «api-res-py» birnäçe wersiýalarynda hem ýüze çykaryldy.

Aşakda görkezilen birnäçe gowşaklyklar ýüze çykaryldy:

CVE-2022-30877 - «keep» paketiniň 1.2 wersiýasy «request» bekdory saklaýar;
CVE-2022-30882 - «pyanxdns» paketiniň 0.2 wersiýasy hem bu gowşaklygy saklaýar;
CVE-2022-31313 - «api-res-py» paketiniň 0.1 wersiýasy hem bu gowşaklygy saklaýar.

"Pyanxdns" paketiniň döredijisi Mark Egebek täze wersiýany PyPI repozitoriýasyna täzeden ýükledi we zyýanly «request» baglylyga gönükdirýän wersiýany aýyrdy.

Çeşmesi: cert.gov.tm

Biziň salgymyz:

Biziň bilen galyň

Contact Us

PYPI PAKETLERINDE BEKDOR ÝÜZE ÇYKARYLDY