Брешь в инфраструктуре Python, позволявшая подменить ссылки на релизы на сайте python.org
Организация Python Software Foundation раскрыла информацию о критической уязвимости в API для управления релизами, которую можно было использовать для атаки на инфраструктуру проекта Python. Уязвимость позволяла обойти систему аутентификации и подключиться к API управления релизами с правами администратора через отправку запроса с любым ключом и указанием имени пользователя «admin». Получаемые в случае успешной эксплуатации уязвимости права давали атакующему возможность внести изменения в ссылки на релизы Python и метаданные для поверки корректности загружаемых файлов, размещённые на странице python.org/downloads. При этом уязвимость не позволяла изменить содержимое имевшихся файлов с релизами. Аудит базы данных и логов не выявил следов эксплуатации уязвимости. Также предполагается, … Читать далее Брешь в инфраструктуре Python, позволявшая подменить ссылки на релизы на сайте python.org
