Специалисты фонда Python Software Foundation рассказали о критической уязвимости в API для управления релизами. Уязвимость позволяла обойти систему аутентификации и подключиться к API с правами администратора через отправку запроса с любым ключом и указанием одного из администраторов в поле имени пользователя.
Успешная эксплуатация давала злоумышленнику права менять ссылки на релизы Python и метаданные для проверки корректности загружаемых файлов, которые публикуются на странице python.org/downloads. При изменить содержимое уже существовавших файлов релизов было невозможно, только их ссылки и сопутствующую информацию.
Уязвимость присутствовала в коде с 2014 года и возникла из‑за смешения обработчиков для гостевых входов и аутентификации по ключам в одном фрагменте кода. При сбое проверки ключа доступ к API откатывался на гостевой режим, что позволило злоумышленнику получить повышенные права при подстановке имени администратора.
Фонд обнаружил проблему 23 февраля и устранил её на следующий день. В организации подчёркивают, что признаков её эксплуатации нет. 23 апреля кодовую базу дополнительно просканировали с помощью ИИ, а в июне Python Software Foundation привлекла компанию Trail of Bits для внешнего аудита.
В заявлении фонда подчёркивается, что, несмотря на отсутствие признаков эксплуатации, инцидент считается серьёзным. Python Software Foundation призвала пользователей и поставщиков проверять целостность загружаемых пакетов с помощью подписей и рекомендованных средств верификации.
ссылка на оригинал статьи https://habr.com/ru/articles/1052592/