Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Подмена зависимости в Python-библиотеке, насчитывающей 40 млн загрузок в месяц"	+/–
Сообщение от opennews (??), 10-Мрт-25, 20:01
В библиотеке Python JSON Logger выявлена уязвимость (CVE-2025-27607) дающая возможность подменить зависимость при установке через каталог PyPI и добиться выполнения своего кода на системах, использующих данный пакет. Библиотека Python JSON Logger, которая позволяет организовать ведение лога в формате JSON, за последний месяц была загружена 40 млн раз.  Проблема  устранена в версии Python JSON Logger 3.3.0, опубликованной 7 марта... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62856
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	+5 +/–
Сообщение от Аноним (1), 10-Мрт-25, 20:01
> не уведомив разработчиков зависимых пакетов а должен был? это же опенсорс, детка, здесь и удалить своё репо могут
Ответить | Правка | Наверх | Cообщить модератору

	15. Скрыто модератором	+1 +/–
	Сообщение от von Ketteler (-), 10-Мрт-25, 22:05
	Что??!! В 2025 году pypi автоматически не уведомляет ?!!Что за пещерные люди !
	Ответить | Правка | Наверх | Cообщить модератору

2. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	–1 +/–
Сообщение от Ivan_83 (ok), 10-Мрт-25, 20:07
> выявлена уязвимость (CVE-2025-27607) В чём уязвимость то!? Причём тут вообще какой то питон логер!? Это проблема системы установки зависимостей самого питона допускающая атаку на цепочку поставок. В общем репутация CVE скамеров помножается на ноль.
Ответить | Правка | Наверх | Cообщить модератору

	12. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	–1 +/–
	Сообщение от Аноним (1), 10-Мрт-25, 21:21
	тебе никогда не стать фрибзд комиттером, как бы ты не старался цве нужен для того, чтобы когда человек прочёл заафекченные версии, мог сразу понять - он скорее всего заафекчен, а вот версия Х+1, где зависимость убрали\изменили - она уже безопасна
	Ответить | Правка | Наверх | Cообщить модератору

3. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	+/–
Сообщение от Аноним (3), 10-Мрт-25, 20:18
Фигасе они насрали в обсуждении: https://discuss.python.org/t/stop-allowing-deleting-things-f... Кто читал, какая аргументация против? Кстати, май инглиш из вери бэд, бат "Stop Allowing deleting things from PyPI?" переводится Гуглом как "Запретить удаление объектов из PyPI?". Как это соотносится с "просили запретить повторную регистрацию удалённых проектов"???
Ответить | Правка | Наверх | Cообщить модератору

	4. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	+2 +/–
	Сообщение от Ivan_83 (ok), 10-Мрт-25, 20:32
	Да вот так. Смотри какой прикол: я беру пачку денег которые охота сжечь ради лулзов, открываю топ этого вашего пипа, дальше пишу авторам: куплюк ваш проект прям сегодня за $10к. Кто то с первой сотни по любому согласится. Дальше я туда или коммичу фигню ломающую всё, ну типа оставляю только coc.md, или пихаю майнер или грохаю репу. А дальше ловлю лулзы с телека про то как всё везде сломалось. Притом с случае coc.md мне и предъявить то нечего: я честно купил, дальше делаю что хочу со своим проектом.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	+/–
	Сообщение от Аноним (9), 10-Мрт-25, 20:54
	Подобная шляпа решается версионированием, а точнее запретом (платформы хостинга репозитария) на изменения\удаление архивных версий. Ну а что вы хотели, ваш проект зависимостями задействован в другом ПО. Ну т.е. в кюррент "20250319_6.8.24" ты изменения писать конечно можешь, а вот подменить\удалить архив(20210101_01.1.1.) - ты уже не должен иметь прав вообще. Вопрос лишь во времени заморозки - через день-два, или неделю. Удивлен, если в Пипи это не реализовано. Хотя что с них взять, вечно думают в шлангах и гейтах, вместо безопасности.
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	+/–
	Сообщение от Аноним (5), 10-Мрт-25, 20:35
	Там ниже по тексту обсуждение запрета удаления в контексте защиты от повторного использования: If we remove project deletion, which is just one way to prevent name reuse, we should permit orphanage or something similar.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	6. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	+/–
	Сообщение от Аноним (6), 10-Мрт-25, 20:48
	Заходил Кэп, передавал что если нельзя будет удалить, то нельзя будет и повторно зарегистрировать.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	10. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	+1 +/–
	Сообщение от Аноним (10), 10-Мрт-25, 20:55
	Но всегда можно перепродать
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	+/–
	Сообщение от Аноним (19), 10-Мрт-25, 23:01
	Всегда можно найти выход.
	Ответить | Правка | Наверх | Cообщить модератору

7. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	+1 +/–
Сообщение от Аноним (7), 10-Мрт-25, 20:51
Уязвимости уровня "придти, вскрыть при всех, перепаять.. профит!" уже не впечатляют, пошли уязвимости "а вот если бы"...
Ответить | Правка | Наверх | Cообщить модератору

8. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	–1 +/–
Сообщение от Аноним (8), 10-Мрт-25, 20:53
А я не использую PyPI. Ставлю через APT и через GitHub. Уже более 10 лет. Полёт нормальный. Шах и мат, подменщики зависимостей. cat /etc/pip.conf [global] no-index = true no-deps = true
Ответить | Правка | Наверх | Cообщить модератору

	11. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	+/–
	Сообщение от Аноним (9), 10-Мрт-25, 20:56
	Где тот отважный герой-мантейнер, который перепаковывает все проекты из пипи, в апт-репозитарий? P.S. Сам я в CPAN тоже давно не заходил - все из портов ставлю.
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	+/–
	Сообщение от Аноним (20), 10-Мрт-25, 23:27
	> cat /etc/pip.conf cat: /etc/pip.conf: Нет такого файла или каталога
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

13. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	+/–
Сообщение от Аноним (13), 10-Мрт-25, 21:26
PyPI, NPM, Cargo доставляют... зонды.
Ответить | Правка | Наверх | Cообщить модератору

14. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	+/–
Сообщение от Илья (??), 10-Мрт-25, 21:59
И только в нугете таких проблем не было
Ответить | Правка | Наверх | Cообщить модератору

16. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	+1 +/–
Сообщение от Tron is Whistling (?), 10-Мрт-25, 22:18
Ахах, ну вот как раз то, о чём я и писал. Каждому лефтпаду - по пакету непонятно где. И все вот эти вот язычки без динамической линковки, и вся эта практика сбора монолита автоматом - вот сюда вот и приводит.
Ответить | Правка | Наверх | Cообщить модератору

17. "Подмена зависимости в Python-библиотеке, насчитывающей 40 мл..."	+/–
Сообщение от Аноним (17), 10-Мрт-25, 22:23
Плюс в копилку пакетников дистров.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема