В инфраструктуре Python нашли уязвимость, позволяющую подменять ссылки на релизы
Специалисты Python Software Foundation (PSF) сообщили о критической уязвимости в API для управления релизами Python. Проблема позволяла обойти систему аутентификации и получить права администратора.
Уязвимость заключалась в том, что API принимал запросы с любым ключом, если в поле имени пользователя был указан один из администраторов. Таким образом, злоумышленник мог подключиться к API без реального ключа доступа.
Успешная эксплуатация давала возможность изменять ссылки на релизы Python и метаданные для проверки корректности загружаемых файлов. Эти данные публикуются на странице python.org/downloads.
При этом изменить содержимое уже существовавших файлов релизов было невозможно. Атака затрагивала только ссылки и сопутствующую информацию, такие как хеши и подписи.
По данным PSF, уязвимость уже устранена. Подробности о дате обнаружения и возможном использовании пока не раскрываются.
Разработчикам и пользователям Python рекомендуется убедиться, что их системы используют последнюю версию ПО и проверять подлинность загружаемых дистрибутивов по официальным каналам.
