https://thehackernews.com/2022/03/multiple-security-flaws-discovered-in.html
ただし、この欠陥により、対象となる開発者は、影響を受けるパッケージマネージャーの1つと連携して悪意のあるパッケージを処理する必要があることに注意してください。
しかし、さまざまなパッケージマネージャーで新たに発見された問題は、攻撃者が攻撃者をだまして悪意のあるコードを実行させる可能性があることを示しています。
欠陥は、次のパッケージマネージャーで特定されています–
Bundler、Poetry、Yarn、Composer、Pip、Pipenvで発見された追加の引数インジェクションと信頼できない検索パスの脆弱性は、悪意のある攻撃者がマルウェアに感染したgit実行可能ファイルまたはGemfileなどの攻撃者が制御するファイルを使用してコードを実行する可能性があることを意味しましたこれは、Rubyプログラムの依存関係を指定するために使用されます。
しかし、Composer、Pip、およびPipenvは、これら3つすべてが信頼できない検索パスの欠陥の影響を受けており、バグに対処しないことを選択しました。
人気のあるソフトウェアパッケージマネージャーで発見された複数のセキュリティ欠陥、noreply @ blogger.com(Ravie Lakshmanan)
security summary
コメント