痴汉十人队 有被黑客统统掌控风险,Python 的 GitHub 中枢资源库 token 巧合曝光
发布日期:2024-11-02 12:27 点击次数:173
IT之家 7 月 16 日讯息痴汉十人队,集聚安全各人发现了巧合暴露的 GitHub token,能以最高权限窥察 Python 话语、Python 软件包索引(PyPI)和 Python 软件基金会(PSF)存储库。
色电影集聚安全公司 JFrog 暗示该 GitHub 独到窥察 token 托管在 Docker Hub 上的公有 Docker 容器中痴汉十人队,IT之家附上博文有关实质如下:
这起安全案例相等荒谬,若是该 token 落入违规分子之手,其潜在骚动力再若何描摹王人不为过,举例袭击者不错将坏心代码注入 PyPI 软件包(再升级总共 Python 软件包替换为坏心软件),以至不错在 Python 话语本人中注入坏心代码。
偷拍视频Python 的 GitHub 中枢资源库 token 巧合曝光" data-original="https://img.ithome.com/newsuploadfiles/2024/7/ee2ed7ad-7ef4-4b8b-ae24-fd9e3f4a7a79.jpg?x-bce-process=image/format,f_auto" width="728" height="186">
JFrog 在公开 Docker 容器的一个编译 Python 文献(“build.cpython-311.pyc”)中发现该认证 token,于 2023 年 3 月 3 日前创建,由于安全日记在 90 天之后已失效,现在尚不明晰具体创建日历。
JFrog 于 2024 年 6 月 28 日裸露该 token 之后,有关 token 立即被取销,莫得凭据标明该 token 有被黑客愚弄。
告白声明:文内含有的对外跳转贯穿(包括不限于超贯穿、二维码、口令等表情)痴汉十人队,用于传递更多信息,从简甄选时代,后果仅供参考,IT之家总共著作均包含本声明。