天涯论坛

 找回密码
 立即注册
搜索
查看: 50|回复: 0

Python 的 GitHub 核心资源库 token 意外揭发

[复制链接]

3070

主题

3万

回帖

9915万

积分

论坛元老

Rank: 8Rank: 8

积分
99158931
发表于 2024-8-17 22:31:17 | 显示全部楼层 |阅读模式

IT之家 7 月 16 日信息,网络安全专家发掘了意外泄密的 GitHub token,能以最高权限拜访 Python 语言、Python 软件包索引(PyPI)和 Python 软件基金会(PSF)存储库。

网络安全机构 JFrog 暗示该 GitHub 私有拜访 token 托管在 Docker Hub 上的公有 Docker 容器中,IT之家附上博文关联内容如下:

这起安全案例非常特殊,倘若该 token 落入违法分子之手,其潜在破坏力再怎么形容都不为过,例如攻击者能够将恶意代码注入 PyPI 软件包(再升级所有 Python 软件包替换为恶意软件),乃至能够在 Python 语言本身中注入恶意代码。

JFrog 在公开 Docker 容器的一个编译 Python 文件(“build.cpython-311.pyc”)中发掘该认证 token,于 2023 年 3 月 3 日前创建,因为安全日志在 90 天之后已失效,日前尚不清楚详细创建日期。

JFrog 于 2024 年 6 月 28 日披露该 token 之后,关联 token 立即被撤销,证据显示该 token 有被黑客利用。返回外链论坛:www.fok120.com,查看更加多

责任编辑:网友投稿





上一篇:锲而不舍的锲不读qì,那该怎么读?锲怎么读,又是什么意思?
下一篇:GitHub 令牌泄漏, Python 核心资源库面临潜在攻击
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

站点统计|Archiver|手机版|小黑屋|天涯论坛 ( 非经营性网站 )|网站地图

GMT+8, 2024-11-23 01:16 , Processed in 0.097964 second(s), 21 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.