当前位置: 首页 > 资讯 > 软件 > 《Python》核心GitHub仓库Token不慎泄露,面临黑客全面控制威胁
  • 0
  • 0
  • 分享

《Python》核心GitHub仓库Token不慎泄露,面临黑客全面控制威胁

Python 2024-07-16 16:57:56 爱吃爆米花

7月16日消息,网络安全社群中曝出了一项严重发现:一枚能够赋予最高权限访问权限的GitHub令牌不幸遭到了泄露。这枚令牌关联紧密,直接关系到Python语言的核心资源、Python软件包索引(PyPI),以及Python软件基金会(PSF)的官方存储库。

PyPI作为Python开发者获取第三方软件包的重要平台,其安全性至关重要。

网络安全公司 JFrog 表示该 GitHub 私有访问 token 托管在 Docker Hub 上的公有 Docker 容器中,附上博文相关内容如下:

这起安全案例非常特殊,如果该 token 落入不法分子之手,其潜在破坏力再怎么形容都不为过,例如攻击者可以将恶意代码注入 PyPI 软件包(再升级所有 Python 软件包替换为恶意软件),甚至可以在 Python 语言本身中注入恶意代码。

JFrog 在公开 Docker 容器的一个编译 Python 文件(“build.cpython-311.pyc”)中发现该认证 token,于 2023 年 3 月 3 日前创建,由于安全日志在 90 天之后已失效,目前尚不清楚具体创建日期。

JFrog 于 2024 年 6 月 28 日披露该 token 之后,相关 token 立即被撤销,没有证据表明该 token 有被黑客利用。

所 属 资 源
Python
Python
软件 / 编程软件 /
面向对象、直译式计算机程序设计语言
去下载
来源:it之家
免责声明:本内容来自互联网,不代表本网站的观点和立场,如有侵犯你的权益请来信告知;如果你觉得好,欢迎分享给你的朋友,本文网址 https://wangzhidaquan.com/zixun/66826.html
文章标签
评论

文明上网,理性发言,共同做网络文明传播者

验证码
提交
热门游戏
换一换
热门软件
换一换