数据观澜电脑教程
快捷导航
您的位置:首页>物联网>>Python 隐藏漏洞通过超 14.5 万个软件包传播 >

Python 隐藏漏洞通过超 14.5 万个软件包传播

  发布时间:2025-12-07 15:01:19   作者:玩站小弟   我要评论
新泽西理工学院的一项研究揭露了Python软件包生态系统中潜藏的大规模安全隐患。这项名为"PyPitfall"的研究报告揭示,复杂且深度嵌套的软件包依赖关系正在数千个项目中无声传播已知安全漏洞。"一个 。

新泽西理工学院的隐藏一项研究揭露了Python软件包生态系统中潜藏的大规模安全隐患。这项名为"PyPitfall"的漏洞研究报告揭示,复杂且深度嵌套的通过软件包依赖关系正在数千个项目中无声传播已知安全漏洞。

"一个软件包中的超万传播漏洞可能通过其依赖关系传播,最终影响下游软件包和应用程序  ,个软"研究人员警告称。隐藏

漏洞传播规模惊人

Python作为最流行编程语言的云计算漏洞地位 ,很大程度上得益于PyPI(Python Package Index)托管的通过海量开源库生态系统 。目前PyPI拥有超过62.7万个软件包和600多万个版本 ,超万传播开发者往往在引入功能时并未意识到随之而来的个软安全隐患  。

PyPitfall研究分析了378,隐藏573个软件包的依赖关系,发现 :

4,漏洞655个软件包明确要求安装已知存在漏洞的版本(必然暴露)141,044个软件包允许安装可能包含漏洞的版本(潜在暴露)研究团队在定义"必然暴露"时指出:"成功安装这些软件包将不可避免地导致漏洞版本被安装 。建站模板"依赖关系迷宫加剧风险

研究凸显了PyPI生态系统的通过极端复杂性 ,包括存在超过20层传递依赖的超万传播软件包,以及100多万个循环依赖 。个软典型案例是square-0-5软件包,经过75次递归跳转后竟然依赖于自身 ,导致pip install命令陷入无限循环 。

"依赖链可能极其漫长复杂 ,单个软件包可能依赖数百个其他组件,香港云服务器形成深不可测的软件供应链迷宫 。"

这种深度嵌套的关系往往掩盖了漏洞组件的存在 ,使其在广泛传播的同时保持隐蔽 。

检测方法与关键发现

研究团队使用Johnnydep工具对PyPI软件包进行模拟安装,在不实际安装的情况下收集依赖树数据 。随后将其与67个精选CVE漏洞数据库进行交叉比对,模板下载仅关注影响PyPI托管库的漏洞。

这种方法帮助他们在urllib3等广泛使用的软件包中发现严重漏洞——仅该组件就占所有"必然暴露"案例的41.4%。作为Python HTTP栈的核心组件和requests库的依赖项 ,urllib3的漏洞影响尤为突出:

出现在407,333条依赖链中引入包括CVE-2024-37891和CVE-2023-43804在内的漏洞导致1,926个软件包存在必然暴露风险核心数据与改进建议关键数据 :漏洞暴露平均深度 :必然暴露4.1层,高防服务器潜在暴露6.2层Setuptools是被依赖最多的软件包,出现在超700万条依赖链中检测到1,075,559个循环依赖关系许多软件包未遵循PEP 440版本规范  ,导致解析问题

改进建议 :

开发能在安装前审计依赖关系的工具提升开发过程中对传递性漏洞的认知后续研究应采用更全面的CVE数据集扫描PyPI

研究团队已向Python打包管理局披露发现 ,强调解决Python开源生态系统这一系统性风险的紧迫性 。报告总结称:"我们的服务器租用发现凸显了提升Python软件供应链安全意识的必要性 。"

  • Tag:

相关文章

  • 越南网络犯罪分子利用恶意广告针对 Facebook 企业账户攻击

    与越南网络犯罪生态系统有关的网络犯罪分子正在大量的利用社交媒体平台包括 Meta 旗下的 Facebook)作为传播恶意软件的重要手段。据 WithSecure 的研究人员 Mohammad Kaze
    2025-12-07

  • 企业可以采用哪些优秀云安全解决方案

    ​云计算技术不断快速发展,使企业能够获得更快、更便宜、更强大的云存储和应用功能。不幸的是,黑客也变得越来越创新,他们越来越容易找到云中的漏洞并利用它们来达到他们的目的。这就是云安全解决方案的用武之地。
    2025-12-07

  • 九种常见的计算机病毒,工作机理比想象的更复杂

    过去,攻击者只要将恶意软件安装在目标系统上,就可以让它在无人为干预的情况下自动运行;现如今,大多数攻击活动会被数名攻击者操控,为了逃避检测,攻击者会利用诸多编程或脚本语言来生成恶意代码来让自己突破安全
    2025-12-07

  • Wipers和物联网僵尸网络主导威胁态势

    Nozomi Networks Labs 最新的 OT/IoT 安全报告发现,wiper 恶意软件、物联网僵尸网络活动和俄乌战争影响了 2022 年上半年的威胁态势。Nozomi Networks L
    2025-12-07

  • 你需要尽早知道的15个开源网络安全工具

    开源工具代表了技术版图中的一股有活力的力量,体现了创新、协作和可访问性,这些工具是根据透明度和社区驱动的原则开发的,使用户能够根据其独特的需求仔细检查、修改和调整解决方案。在本文中,你将找到一个开放源
    2025-12-07

  • PACMAN,一种针对 Apple M1 芯片的新攻击技术

    SecurityAffairs网站披露,攻击者可以通过一种名为 PACMAN的新硬件攻击技术,绕过苹果M1处理器上的指针认证PAC),入侵MacOS系统。据悉,这项技术是由麻省理工学院计算机科学与人工
    2025-12-07

最新评论