7月16日消息,网络安全社群中曝出了一项严重发现:一枚能够赋予最高权限访问权限的GitHub令牌不幸遭到了泄露。这枚令牌关联紧密,直接关系到Python语言的核心资源、Python软件包索引(PyPI),以及Python软件基金会(PSF)的官方存储库。
PyPI作为Python开发者获取第三方软件包的重要平台,其安全性至关重要。
网络安全公司 JFrog 表示该 GitHub 私有访问 token 托管在 Docker Hub 上的公有 Docker 容器中,附上博文相关内容如下:
这起安全案例非常特殊,如果该 token 落入不法分子之手,其潜在破坏力再怎么形容都不为过,例如攻击者可以将恶意代码注入 PyPI 软件包(再升级所有 Python 软件包替换为恶意软件),甚至可以在 Python 语言本身中注入恶意代码。
JFrog 在公开 Docker 容器的一个编译 Python 文件(“build.cpython-311.pyc”)中发现该认证 token,于 2023 年 3 月 3 日前创建,由于安全日志在 90 天之后已失效,目前尚不清楚具体创建日期。
JFrog 于 2024 年 6 月 28 日披露该 token 之后,相关 token 立即被撤销,没有证据表明该 token 有被黑客利用。
新闻阅读
40MB
生活休闲
18.74MB
便携购物
106.79MB
1.50MB
社交通讯
18.45MB
129.93MB
1.51MB
0KB
休闲益智
46.15MB
角色扮演
5.66MB
模拟经营
513.63MB
扑克棋牌
553.08MB
513.93MB
动作冒险
1.70GB
飞行射击
709.61MB
渝ICP备20008086号-14 违法和不良信息举报/未成年人举报:dzjswcom@163.com
CopyRight©2003-2018 违法和不良信息举报(12377) All Right Reserved
《Python》核心GitHub仓库Token不慎泄露,面临黑客全面控制威胁
7月16日消息,网络安全社群中曝出了一项严重发现:一枚能够赋予最高权限访问权限的GitHub令牌不幸遭到了泄露。这枚令牌关联紧密,直接关系到Python语言的核心资源、Python软件包索引(PyPI),以及Python软件基金会(PSF)的官方存储库。
PyPI作为Python开发者获取第三方软件包的重要平台,其安全性至关重要。
网络安全公司 JFrog 表示该 GitHub 私有访问 token 托管在 Docker Hub 上的公有 Docker 容器中,附上博文相关内容如下:
这起安全案例非常特殊,如果该 token 落入不法分子之手,其潜在破坏力再怎么形容都不为过,例如攻击者可以将恶意代码注入 PyPI 软件包(再升级所有 Python 软件包替换为恶意软件),甚至可以在 Python 语言本身中注入恶意代码。
JFrog 在公开 Docker 容器的一个编译 Python 文件(“build.cpython-311.pyc”)中发现该认证 token,于 2023 年 3 月 3 日前创建,由于安全日志在 90 天之后已失效,目前尚不清楚具体创建日期。
JFrog 于 2024 年 6 月 28 日披露该 token 之后,相关 token 立即被撤销,没有证据表明该 token 有被黑客利用。
新闻阅读
40MB
生活休闲
18.74MB
生活休闲
18.74MB
便携购物
106.79MB
新闻阅读
1.50MB
社交通讯
18.45MB
便携购物
129.93MB
生活休闲
1.51MB
生活休闲
0KB
休闲益智
46.15MB
角色扮演
5.66MB
模拟经营
513.63MB
休闲益智
0KB
扑克棋牌
553.08MB
角色扮演
513.93MB
动作冒险
1.70GB
模拟经营
0KB
飞行射击
709.61MB