Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
Сообщение от opennews (??), 16-Апр-25, 15:25
Разработчики репозитория Python-пакетов PyPI (Python Package Index) сообщили о выявлении проблемы с безопасностью в реализации функции "Organization Team", позволяющей сформировать команду из нескольких разработчиков, совместно работающих над проектом в PyPI. Суть выявленных проблем в том, что привилегии, делегированные пользователю как участнику "Organization Team", сохранялись после удаления пользователя из состава организации. Уязвимость в PyPI была устранена спустя 2 часа после сообщения о наличии проблемы. Проведённый аудит  не выявил несанкционированных действий, связанных с использованием не отозванных прав доступа... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63086
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

3. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+16 +/–
Сообщение от Аноним (3), 16-Апр-25, 15:33
А у нас даже пароли в логи пишутся, начальник в курсе и ему всё равно.
Ответить | Правка | Наверх | Cообщить модератору

	5. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+3 +/–
	Сообщение от Аноним (5), 16-Апр-25, 15:36
	а нечего работать в спортлото
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от Ruslan (??), 16-Апр-25, 15:47
	Почему? Руководству все равно. Значит такие нормы на предприятии.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+4 +/–
	Сообщение от Анонимище (?), 16-Апр-25, 17:54
	Ему безразлично, но лишь потому что в случае взлома крайним станет кто-нибудь из его подчиненых. Поэтому надо бежать из такого заведения, от греха подальше
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от нах. (?), 17-Апр-25, 10:21
	У меня для тебя хреновые новости, но ты уже почти взрослый и тебе пора узнать правду: сбежать оттуда сможет снова только начальник. У раба цепь слишком короткая.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от Аноним (40), 16-Апр-25, 18:53
	> Почему? Руководству все равно. Значит такие нормы на предприятии. 1) Потому что работать на помойке это как минимум не уважать себя. 2) Какой начальник - такой будет и коллектив. 3) Крайним потом окажется вовсе не начальник и сидеть придется не ему.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	41. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+1 +/–
	Сообщение от Аноним (41), 16-Апр-25, 19:14
	А может он всё это соберется монетанезировать.
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от Аноним (16), 16-Апр-25, 16:20
	а логи куда пишутся?
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	33. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+3 +/–
	Сообщение от Аноним (5), 16-Апр-25, 18:10
	логи используем вместо паролей
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+1 +/–
	Сообщение от Аноним (17), 16-Апр-25, 16:22
	беги!
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	23. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+1 +/–
	Сообщение от Аноним (23), 16-Апр-25, 17:04
	Надеюсь не гос? Если гос, сообщай в роскомнадзор, а сам меняй работу.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	44. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	–1 +/–
	Сообщение от penetrator (?), 16-Апр-25, 19:31
	а зачем ему это? если бы хотел уже давно бы сменил он работу, а так он сидит в тепленьком скорее всего
	Ответить | Правка | Наверх | Cообщить модератору

	46. Скрыто модератором	+/–
	Сообщение от нах. (?), 16-Апр-25, 19:46
	> если бы хотел уже давно бы сменил он работу вылечился бы от рака, слетал на марс... открою тебе, юнош, печальную истину: мир не собирается потакать твоим хотелкам. Хочешь жрать (сегодня, а не когда у пятерочки кончится срок годности) - иди работай там, куда берут. А не хочешь - можешь сидеть в холодном месте и сосать х`йца.
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от 1 (??), 17-Апр-25, 09:06
	Ну ты даёшь - там вся команда за счёт этого кормится.
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

	67. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от Аноним (67), 17-Апр-25, 14:43
	> А у нас даже пароли в логи пишутся, начальник в курсе и ему всё равно. А иначе пришлось бы стикер с паролем к монитору клеить. Начальник мудр.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

11. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+5 +/–
Сообщение от Аноним (11), 16-Апр-25, 15:55
Успели получить CVE-индентификатор? :)
Ответить | Правка | Наверх | Cообщить модератору

	47. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от нах. (?), 16-Апр-25, 19:48
	конечно успели - эти торгаши цифирками продавали их оптом впрок.
	Ответить | Правка | Наверх | Cообщить модератору

14. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+3 +/–
Сообщение от Аноним (14), 16-Апр-25, 16:12
Именно поэтому так важен труд ментейнеров дистрибутивов. Особенно Debian, который имеет репозиторий с копиями исходников. Полная воспроизводимость и контроль сборки. Полагаться на такие pypi и crates не стоит.
Ответить | Правка | Наверх | Cообщить модератору

	36. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от n00by (ok), 16-Апр-25, 18:21
	Одна беда: контроль у них "собралось-запустилось".
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от Аноним (14), 16-Апр-25, 18:33
	Вы буквально пересказали моё же сообщение, но умудрились выставить в негативном ключе. В pypi и crates вообще-то нет воспроизводимости. В crates так вообще сборок нет. Так что вы пытались сказать?
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	–2 +/–
	Сообщение от n00by (ok), 16-Апр-25, 19:17
	Ровно то, что и сказал: не надо делать вид, будто бы непосильный труд майнтайнеров устраняет упомянутые в теме и прочие подобные возможные проблемы.
	Ответить | Правка | Наверх | Cообщить модератору

20. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
Сообщение от Аноним (20), 16-Апр-25, 16:30
> среди отправляемых данных присутствовало поле с содержимым Cookie "cargo_session", в котором находился сессионный ключ Ну и зачем? Не, вот серьезно. Кому и при каких обстоятельствах такое в башку взбрендило? "Дай-ка буду в сентри сессию отправлять, потому что -- а почему бы и нет?"
Ответить | Правка | Наверх | Cообщить модератору

	32. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+2 +/–
	Сообщение от fuggy (ok), 16-Апр-25, 17:59
	Вот вообще не понимаю кто придумал отправлять логи в стороннюю организацию. И как это вообще согласовывается с политикой безопасности. При том что это бекенд где можно напрямую своё хранилище использовать, а не куча мобильных клиентов с которых нужно собирать логи. Да и при любой возможности нужно sentry.io блокировать на устройстве.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от нах. (?), 16-Апр-25, 19:50
	> Вот вообще не понимаю кто придумал отправлять логи в стороннюю организацию. все кто держал логи в собственной - активно ищут работу. (потому что не логать все на свете девляпсам просто не приходит в голову. А бездонная хранилка бывает... но где-то вот там, в облачках. А в непотусторонних организациях каждый диск стоит денежку.)
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от myster (ok), 16-Апр-25, 20:43
	в облаках логи хранить денежек тоже стоит не малых. Я как то в Datadog логирование настраивал, потом счёт не хилый за логи был у заказчика, но они сами так захотели. ИМХО держать свою систему сбора логов проще и дешевле. Тот же Sentry разворачивается в self-hosted варианте на изи. Правда, то как это выглядит - срамота, сколько же они в этом Sentry накрутили дичи, благо развернуть можно одним Docker Compose конфигом или Helm чартом и не смотреть туда, чтобы не портить себе нервы.
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+1 +/–
	Сообщение от User (??), 17-Апр-25, 07:52
	Не, ну если задача "хранить события безопасности 25 лет" по требованию ИБэ - то, пожалуй, дешевле самому. А вот если с ними периодически работать приходится - да еще ни дай б-г в привязке к метрикам\трейсам, да с разделением по командам\средам - уже дискуссионно. Периодически конечно в голову приходит мысль, что "а может не надо логгировать каждый чих с двух сторон каждой ноздри (И на всякий случАй - других отверстий - вдруг корреляция при чихании обнаружится?!)" - но каждый, каждый с-ка раз заканчивается это дело тем, что "шит - хаппенс!", а данных для анализа-то и нет.
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от myster (ok), 17-Апр-25, 10:46
	Если периодически с ними работать, то нужно определиться за какой период держать активные логи доступными для анализа. Как только период определен, остальные логи можно складывать на холодное или ледяное S3 хранилище в облаке, там тарифы не такие дорогие за хранение.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от Аноним (34), 16-Апр-25, 18:12
	Кому надо нужно было незаметно дать доступ куда надо, вот и сделали. А то, что не нашли случаев использования, так это они так говорят, стороннего аудита не было (и не будет).
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	75. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от Аноним (75), 18-Апр-25, 19:07
	Возможно потому, что там не по одному куки выбирали для отправки в лог (т.е. выборочно), а сразу весь массив? Лень - не всегда двигатель прогресса.
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

37. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
Сообщение от n00by (ok), 16-Апр-25, 18:24
То есть Python Package Index привязывал права к пользователю? Тогда как следовало к организации. Сколько ещё подобных гениев создают ПО и одаряют им окружающих?
Ответить | Правка | Наверх | Cообщить модератору

	51. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от Аноним (51), 16-Апр-25, 21:01
	Эти ответят: "Что подвезли из того и собираем."
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от User (??), 17-Апр-25, 08:15
	Ээээ... если взять какой-нибудь group membership в AD - то там членство в группах опредяляется атрибутом member группы... Но в атрибутах пользователя есть _вычисляемый_ memberof, который "вычисляется" не на лету, а при изменении member в группе - и да, для выписки kerberos ticket используется именно memberof пользователя (С нюансами в виде вложенности, но). И да, с неконсистентностью member != memberof сталкивался лично - из группы пользователя удалили, а в memberof атрибуте пользователя членство есть и в тикете группа есть и права, сталбыть, тоже есть.
	Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

	76. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от n00by (ok), 23-Апр-25, 10:38
	Ключевой вопрос здесь в том, "прокатит" ли такой ticket. Что копия (прав) может храниться у пользователя и по стечению обстоятельств может не совпадать - это вполне нормально и называется кеширование (грубо говоря: случилась авария, нет сети, но требуется примерно знать о группах).
	Ответить | Правка | Наверх | Cообщить модератору

	78. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от User (??), 23-Апр-25, 11:58
	> Ключевой вопрос здесь в том, "прокатит" ли такой ticket. Ээээ... с чего бы ему "не прокатить"? Прокатывает. > Что копия (прав) может храниться у пользователя и по стечению обстоятельств может не совпадать - это вполне нормально и называется кеширование (грубо говоря: случилась авария, > нет сети, но требуется примерно знать о группах). Ну, да - но нет, совсем нет. Это не "кэш", это "compute field". И это, в общем-то, сильно-сильно не нормально, что он отличается. Но вот - случалось.
	Ответить | Правка | Наверх | Cообщить модератору

	79. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от n00by (ok), 23-Апр-25, 15:02
	Про кеш имел ввиду общий случай, как оно было бы в грамотной схеме. Если где-то прокатывает, ну... явно не образец для подражания.
	Ответить | Правка | Наверх | Cообщить модератору

45. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
Сообщение от Аноним (45), 16-Апр-25, 19:37
Так вся эта концепция слабоконтролируемых репозиториев пакетов для программистов - очень ненадёжная. А люди привыкают, проекты обрастают избыточными зависимостями, привязкой к интернету. Всё это очень неустойчиво выглядит для серьёзного применения (в долгосрочной перспективе). Питон - это язык для быстрого прототипирования, но он настолько распространился благодаря гуглу, что его умудрились затащить даже туда куда не следовало бы.
Ответить | Правка | Наверх | Cообщить модератору

	49. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от Аноним (49), 16-Апр-25, 20:27
	Пока за жопу не укусят, ничего не измениться. Пока не ломанули крейты в тихую, с последующим захватом всех проектов, ничего и не изменится. Кстати, после той истории с хз, изменилось что нибудь?
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
	Сообщение от Аноним (51), 16-Апр-25, 21:04
	Вряд ли. Из-за экономии "Из Дев прямо в Прод". DevOps же.
	Ответить | Правка | Наверх | Cообщить модератору

	68. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+1 +/–
	Сообщение от BorichL (ok), 17-Апр-25, 14:47
	Да фигня, мы из без ДевШлёпсов 25 лет почти сразу в прод пишем с минимальным тестированием и всё нормально так пашет. Прод рад быстрой реакции, а мы смелые парни, не то, что местные зассыхи!
	Ответить | Правка | Наверх | Cообщить модератору

53. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
Сообщение от Аноним (51), 16-Апр-25, 21:06
Не хочется выглядеть "пляшущим на костях", но "Вас же предупреждали" )
Ответить | Правка | Наверх | Cообщить модератору

	72. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	–1 +/–
	Сообщение от Аноним (-), 18-Апр-25, 07:35
	Я второй раз за неделю сталкиваюсь с ситуацией, когда человек сначала заявляет, что не хочет плясать на костях, а потом демонстрирует поведение, которое он, судя по всему, считает "пляской на костях". Что происходит? Майндконтроль со стороны инопланетян, и вы делаете не то, что хотите делать сами, а то, что хотят инопланетяне?
	Ответить | Правка | Наверх | Cообщить модератору

54. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	–1 +/–
Сообщение от Аноним (51), 16-Апр-25, 21:18
>Отмечается, что доступ к серверу мониторинга Sentry имели только отдельные участники команд, обслуживающих инфраструктуру проекта и репозиторий crates.io, которые и без того имеют привилегированный доступ к рабочим серверам crates.io. А Мандат от Всевышнего на непогрешимость у них есть? ) Больше, есть привилегии над привилегиями и имперсоналити от лица Системы и Сервера. Были случае. Конкретные продукты упоминать не буду. Хотя, наверно, и так скроют сообщение.
Ответить | Правка | Наверх | Cообщить модератору

55. "Инциденты с безопасностью в репозиториях PyPI и crates.io"	+/–
Сообщение от Аноним (51), 16-Апр-25, 21:33
Не исключен случай, когда в адресном пространстве процесса размещена библиотечка, которая способна вызвать обработчик "сброса этого дампа". Так прозрачно и регулярно.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема