Benutzer:DieserGorilla/Pip Sicherheit

Sicherheit

Im September 2017 wurde bekannt, dass der Paketindex anfällig für Typosquatting war. Das ermöglichte die Registrierung von Paketnamen, die bereits mit der Python-Standardbibliothek ausgeliefert werden. Mehrere Untersuchungen (u. a. durch den slowenischen CERT) wiesen darauf hin und fanden Pakete mit Schadcode.^[1]^[2] Betrofen waren 10 Bibliotheken, die mit abgewandelten Bezeichnungen wie "crypt" statt "crypto", "pwd" statt "pwdhash" oder "urllib" statt "urllib3" im Paketindex vorhanden waren. Allerdings wurde kein schädlicher Code ausgeführt sondern nur Informationen zum Benutzer, dem Paketnamen und dem Hostname an einen Server gesendet.^[3] Die betroffenen Pakete wurden kurz vor der Veröffentlichung des Fehlers durch das slowenischen CERT vom PyPI-Team entfernt.^[4]

↑ Golem: PyPI - Bösartige Python-Pakete entdeckt. 17. September 2017, abgerufen am 11. September 2018.
↑ Typosquatting programming language package managers. Abgerufen am 11. September 2018.
↑ skcsirt-sa-20170909-pypi. Abgerufen am 11. September 2018.
↑ Schadcode in offiziellem Python-Repository entdeckt. 19. September 2017, abgerufen am 11. September 2018.

[1] Golem: PyPI - Bösartige Python-Pakete entdeckt. 17. September 2017, abgerufen am 11. September 2018.

[2] Typosquatting programming language package managers. Abgerufen am 11. September 2018.

[3] skcsirt-sa-20170909-pypi. Abgerufen am 11. September 2018.

[4] Schadcode in offiziellem Python-Repository entdeckt. 19. September 2017, abgerufen am 11. September 2018.

[1]

[2]

[3]

[4]

Anonym

Suche

Benutzer:DieserGorilla/Pip Sicherheit

Namensräume

Mehr

Seitenaktionen

Sicherheit

Navigation

Navigation

Mitmachen

Wikiwerkzeuge

Wikiwerkzeuge

Anonym

Suche

Benutzer:DieserGorilla/Pip Sicherheit

Sicherheit

Navigation

Wikiwerkzeuge

Seitenwerkzeuge

Weitere Projekte