PyPI paketlerinde «request» atly zyýanly baglylygyň bolmagy sebäpli «keep», «pyanxdns», «api-res-py» paketleri bekdor saklaýarlar.

«Keep» paketiniň köp sanly wersiýalary HTTP-ýüzlenmeleri ýerine ýetirmek üçin Python modulyň ýüzlenmelerini (requests) ulanýarlar, «keep» paketiň v.1.2 wersiýasy «request» (-s goşulmasyz) saklaýar, bu bolsa zyýanly programma üpjünçiligi bolup durýar. Zyýanly «request» baglylygy PyPI paketleriniň «pyanxdns» we «api-res-py» birnäçe wersiýalarynda hem ýüze çykaryldy.

Aşakda görkezilen birnäçe gowşaklyklar ýüze çykaryldy:

• CVE-2022-30877 - «keep» paketiniň 1.2 wersiýasy «request» bekdory saklaýar;
• CVE-2022-30882 - «pyanxdns» paketiniň 0.2 wersiýasy hem bu gowşaklygy saklaýar;
• CVE-2022-31313 - «api-res-py» paketiniň 0.1 wersiýasy hem bu gowşaklygy saklaýar.

"Pyanxdns" paketiniň döredijisi Mark Egebek täze wersiýany PyPI repozitoriýasyna täzeden ýükledi we zyýanly «request» baglylyga gönükdirýän wersiýany aýyrdy.

Çeşme: securitylab.ru