-
09/04/2020
-
94
-
731 bài viết
CVE-2024-6345: Lỗ hổng nghiêm trọng trong Setuptools
Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong Setuptools, một thư viện được sử dụng rộng rãi trong các dự án Python. Lỗ hổng này, được chỉ định mã CVE-2024-6345 với điểm CVSS 8,8, làm cho hệ thống dễ bị tấn công thực thi mã từ xa (RCE) do các lỗ hổng trong module package_index.
Module package_index của Setuptools, giúp đơn giản hóa việc tương tác với các máy chủ chỉ mục gói như PyPi, dễ bị tấn công chèn mã thông qua các phương thức tải xuống của nó. Các phương thức này, rất quan trọng để truy xuất và cài đặt các gói từ các URL chỉ định, có thể bị khai thác khi các URL được cung cấp bởi người dùng hoặc tự động trích xuất từ các trang HTML của máy chủ chỉ mục gói.
Các rủi ro chính:
Nhà nghiên cứu bảo mật CybrX, người đã báo cáo lỗ hổng CVE-2024-6345, đã công bố một phân tích kỹ thuật chi tiết và mã khai thác bằng chứng khái niệm, nhấn mạnh mức độ nghiêm trọng của vấn đề này.
Do tính phổ biến của Setuptools trong hệ sinh thái Python, vô số dự án và hệ thống có thể gặp rủi ro. Bất kỳ hệ thống nào sử dụng hệ thống chỉ mục gói của Setuptools để xây dựng các dự án Python đều có thể bị tấn công, và hậu quả của việc khai thác thành công có thể rất nghiêm trọng. Kẻ tấn công có thể truy cập shell lệnh, đánh cắp dữ liệu nhạy cảm, cài đặt phần mềm độc hại, hoặc thậm chí chiếm quyền kiểm soát toàn bộ hệ thống bị ảnh hưởng.
Tất cả người dùng và tổ chức sử dụng Setuptools cần nâng cấp ngay lập tức lên phiên bản 70.0. Phiên bản cập nhật này bao gồm một bản vá giải quyết lỗ hổng và ngăn chặn tấn công chèn mã.
Module package_index của Setuptools, giúp đơn giản hóa việc tương tác với các máy chủ chỉ mục gói như PyPi, dễ bị tấn công chèn mã thông qua các phương thức tải xuống của nó. Các phương thức này, rất quan trọng để truy xuất và cài đặt các gói từ các URL chỉ định, có thể bị khai thác khi các URL được cung cấp bởi người dùng hoặc tự động trích xuất từ các trang HTML của máy chủ chỉ mục gói.
Các rủi ro chính:
- Nhắm mục tiêu hệ thống sử dụng các Module package_index bị ảnh hưởng: Bất kỳ hệ thống nào dựa vào module package_index bị lỗ hổng để xây dựng dự án đều có thể trở thành mục tiêu của kẻ tấn công.
- Truy cập Shell lệnh: Khai thác lỗ hổng này có thể cho phép kẻ tấn công truy cập shell lệnh, cho phép chúng thực thi các lệnh tùy ý trên hệ thống bị xâm nhập.
- Xâm nhập hệ thống toàn diện: Rủi ro nghiêm trọng nhất là chiếm đoạt toàn bộ hệ thống, cho phép kẻ tấn công thao túng hoặc đánh cắp dữ liệu nhạy cảm, cài đặt phần mềm độc hại và phá vỡ hoạt động bình thường.
Nhà nghiên cứu bảo mật CybrX, người đã báo cáo lỗ hổng CVE-2024-6345, đã công bố một phân tích kỹ thuật chi tiết và mã khai thác bằng chứng khái niệm, nhấn mạnh mức độ nghiêm trọng của vấn đề này.
Do tính phổ biến của Setuptools trong hệ sinh thái Python, vô số dự án và hệ thống có thể gặp rủi ro. Bất kỳ hệ thống nào sử dụng hệ thống chỉ mục gói của Setuptools để xây dựng các dự án Python đều có thể bị tấn công, và hậu quả của việc khai thác thành công có thể rất nghiêm trọng. Kẻ tấn công có thể truy cập shell lệnh, đánh cắp dữ liệu nhạy cảm, cài đặt phần mềm độc hại, hoặc thậm chí chiếm quyền kiểm soát toàn bộ hệ thống bị ảnh hưởng.
Tất cả người dùng và tổ chức sử dụng Setuptools cần nâng cấp ngay lập tức lên phiên bản 70.0. Phiên bản cập nhật này bao gồm một bản vá giải quyết lỗ hổng và ngăn chặn tấn công chèn mã.
Chỉnh sửa lần cuối: