Kritische Domain-Übernahme-Lücke in Legacy-Python-Paketen
Autor: info@thehackernews.com (The Hacker News)
Zusammenfassung
Sicherheitsforscher haben eine Schwachstelle in alten Python-Paketen entdeckt, die eine Supply-Chain-Kompromittierung über PyPI ermöglichen könnte. Das Problem liegt in den Bootstrap-Dateien des Build-Tools "zc.buildout". Betroffen sind diverse Python-Pakete, die diese Dateien nutzen. Eine Domain-Übernahme könnte Angreifern Zugriff auf diese Pakete verschaffen und so die Software-Lieferkette gefährden.
Cybersecurity researchers have discovered vulnerable code in legacy Python packages that could potentially pave the way for a supply chain compromise on the Python Package Index (PyPI) via a domain takeover attack.
Software supply chain security company ReversingLabs said it found the "vulnerability" in bootstrap files provided by a build and deployment automation tool named "zc.buildout."
"The
Quelle: thehackernews.com