상세 컨텐츠

본문 제목

PyPI 파이썬 패키지 저장소, 치명적인 공급망 취약점 패치해

국내외 보안동향

by 알약4 2021. 8. 3. 14:00

본문

 

 

PyPI Python Package Repository Patches Critical Supply Chain Flaw

 

지난주, PyPI(Python Package Index)의 관리자가 취약점 3가지에 대한 수정 사항을 발표했습니다. 그 중 하나는 임의 코드 실행 및 해당 공식 소프트웨어 저장소를 완전히 제어하는 ​​데 악용될 수 있습니다. 이 보안 취약점은 일본의 보안 연구원인 RyotaK이 발견해 제보했습니다.

 

발견된 취약점 3가지는 아래와 같습니다.

 

PyPI 레거시 문서 삭제 취약점 - PyPI에서 배포 도구를 호스팅하는 레거시 문서를 삭제하는 메커니즘에 존재하는 취약점으로, 공격자가 제어할 수 없는 프로젝트의 문서 제거 가능

PyPI 역할 삭제 취약점 - PyPI의 역할 삭제 메커니즘에 존재하는 취약점으로 공격자가 제어할 수 없는 프로젝트의 역할 제거 가능

PyPI용 GitHub 작업 워크플로 취약점 - PyPI 소스 저장소의 GitHub 작업 워크플로우에 존재하는 취약점으로 공격자가 pypa/warehouse 저장소의 쓰기 권한 획득 가능

 

이 취약점을 성공적으로 악용할 경우 프로젝트 문서 파일이 임의로 삭제될 수 있습니다.

 

이는 레거시 문서를 제거하기 위한 API 엔드포인트가 입력된 프로젝트 이름을 처리하는 방식에 존재하며, 모든 사용자가 유효한 역할 ID가 부여된 모든 역할을 삭제하도록 허용합니다. 이는 현재 프로젝트를 연결된 프로젝트와 역할 매칭 검사를 누락했기 때문에 발생합니다.

 

더욱 심각한 취약점은 "combine-prs.yml"이라 명명된 PyPI의 소스 저장소에 대한 GitHub 작업 워크플로우 문제로, 그 결과 공격자가 "pypa/warehouse" 저장소의 메인 브랜치에 대한 쓰기 권한을 얻고 그 과정에서 pypi.org에서 악성코드를 실행 가능하다는 것입니다.

 

“이 문서에 설명된 취약점은 파이썬 생태계에 상당한 영향을 미쳤습니다. 앞서 여러 번 언급했듯, 일부 공급망에는 치명적인 취약점이 존재합니다. 하지만 소수의 사람들 만이 공급망 공격에 대해 연구하고 있으며, 대부분의 공급망이 제대로 보호되지 않고 있습니다. 따라서 공급망의 사용자들이 공급망 보안 향상에 적극적으로 기여할 필요가 있다고 생각됩니다.”

 

 

 

 

 

출처:

https://thehackernews.com/2021/08/pypi-python-package-repository-patches.html

https://blog.ryotak.me/post/pypi-potential-remote-code-execution-en/

https://python-security.readthedocs.io/pypi-vuln/index-2021-07-26-legacy-document-deletion.html

https://python-security.readthedocs.io/pypi-vuln/index-2021-07-27-role-deletion.html

https://python-security.readthedocs.io/pypi-vuln/index-2021-07-27-combine-prs-workflow.html

관련글 더보기

댓글 영역