Yamale Python 包受高危的代码执行漏洞影响

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

该漏洞的编号是CVE-2021-38305（CVSS评分7.8），涉及操纵以工具输入形式提供的架构文件，规避保护措施并实现代码执行。具体而言，该问题位于架构解析函数中，可评估和执行传递的任意输入，从而导致架构内特殊构建的字符串被滥用于注入系统命令。

Yamale 是一个Python 包，可使开发人员从命令行验证 YAML（通常用于写配置文件的数据序列化语言）。GitHub 上至少有224个仓库都在使用该包。

JFROG 安全公司的首席技术官 Asaf Karas 表示，“该漏洞可使能够提供输入架构文件的攻击者执行 Python 代码注入，从而导致以 Yamale 进程权限执行代码。我们建议大规模清理进入 eval() 的任意输入，最好是用更具体的API替代 eval() 调用。“

漏洞披露后，已在 Yamale 版本3.0.8 中修正。Yamale 维护人员在8月4日的发布说明中指出，“本次发布修复了一个漏洞，格式良好的架构文件可在运行 Yamale 的系统上执行任意代码。“

这是JFrog 在 Python 包中最近发现的一个安全问题。2021年6月，Vdoo 在 PyPi 仓库中发现了被typosquat的包，该包下载并执行第三方密币挖矿机如 T-Rex、ubqminer 或 PhoenixMiner，挖掘受陷系统上的以太坊和 Ubiq。

之后，JFrog 安全团队发现了其它8个恶意Python包，其下载次数不少于3万次，可被用于在目标机器上执行远程代码、收集系统信息、嗅探信用卡信息和自动存储在 Chrome 和 Edge 浏览器中的密码，甚至窃取 Discord 认证令牌。

研究人员指出，“软件包仓库正在称为供应链攻击的流行目标，流行仓库如 npm、PyPI 和 RubyGems 遭恶意软件攻击。有时恶意包被上传到包仓库中，使恶意人员有机会利用这些仓库传播病毒并成功攻击管道中的开发人员和CI/CD机器。”