Python Paket Endeksi (PYPI), Python paket montajcılarının ve müfettişlerinin ZIP arşivlerini nasıl ele aldıkları konusundaki tutarsızlıkları kullanabilecek fermuar ayırıcı karışıklık saldırılarını azaltmayı amaçlayan yeni kısıtlamalar duyurdu.
Bu hareket, Zipfile standart kütüphane modülüne dayanan Python tabanlı yükleyicilere kıyasla farklı çıkarma davranışları sergileyen UV yükleyicisi gibi araçlarda tanımlanan güvenlik açıklarına yanıt olarak gelir.
Python ekosistemlerini korumak
Pypi şimdi platformda daha önce sömürü kanıtı olmayan bu karışıklık saldırılarını kullanmak için hazırlanmış zip arşivlerini reddediyor.
Buna ek olarak, PYPI, yanlış kayıt dosyaları içeren tekerlek dağılımlarını kullanımdan kaldırıyor ve toplumu daha katı standartlarla uyumlu hale getirmeye çağırıyor.
Bu girişim, 1989 yılında, birden fazla depolama biriminde büyük arşivleri barındırmak için tasarlanan ZIP formatının doğal karmaşıklıklarını ele almaktadır ve ekstraksiyon sonuçlarında belirsizlikler getiren bir özelliği tam olarak yeniden yazmaya izin vermektedir.
Python jantlar, esasen kılık değiştirmiş arşivler, kurulum süreçlerini özetleyen, ancak uygulayıcılara gerginlik özgü kullanım bırakan ikili dağılım formatı spesifikasyonunu takip eder.
Spesifikasyon, yolları korurken standart Unzip araçlarını kullanarak site paketlerine açılmayı önermektedir, ancak zip özellikleri üzerinde hiçbir kısıtlama getirmez ve potansiyel olarak belirsizliğin fark edilmesine izin verir.
Bunu birleştirerek, bir tekerleğin .dist-info dizin listeleri içindeki kayıt dosyası, isteğe bağlı sağlık toplamlarına sahip dosyaları içermektedir ve yükleyicilerin arşiv içeriğini buna karşı doğrulaması, uyumsuzluklar olursa kurulumun başarısız olması beklenir.
Bununla birlikte, birçok yükleyici bu kontrolü atlar, yalnızca unzip gibi çıkarılır ve kaldırma sonrası rekoru kaldırma işlevselliği için ayarlar.
Bu gevşek uygulama, tarihsel olarak standart dışı zip kullanımlarına yankılar olmadan izin verdi ve saldırganların ayrıştırıcı farklılıklarından yararlanarak incelemeleri geçmişte kötü niyetli dosyaları kaçırdığı riskler yarattı.
Pypi’nin savunma önlemleri
Bu tehditlere karşı koymak için PYPI, geçersiz kayıt çerçevelemeli arşivlerin reddedilmesi, yerel dosya ve merkezi dizin başlıklarında, eşleşmeyen başlıklar, izleme başlıkları, merkezi dizin başlıklarının çoklu sonu veya yanlış konumlandırıcı değerleri de dahil olmak üzere tekerlekler ve fermuarlar için titiz yükleme kontrolleri uyguluyor.
Bu adımlar, ayrıştırıcıların arşivleri yerel ve merkezi başlıklara göre farklı şekilde yorumlayabileceği karışıklık saldırılarını engellemek için en iyi uygulama olan Merkezi Dizim ile hizalanmasını sağlar.
PYPI, yüklemeler sırasında zaten sıkıştırma-bomba tespiti kullanıyor ve güvenliği daha da artırıyor.
Şimdi başlayarak, koruyucular, fermuar içeriğinin kayıt meta verilerinden ayrıldığı tekerlekler için e -posta uyarıları alacaklar; 1 Şubat 2026 tarihinde sona eren altı aylık bir hakış döneminden sonra, bu tür yüklemeler açıkça reddedilecektir.
Bu aşamalı yaklaşım, montajcıları Cpython Zipfile modülünün sağlam fermuar kullanımı ile hizalayarak rekor çapraz kontrol uygulamaya teşvik eder.
En iyi 15.000 python paketinin indirmelerle analizi minimal sorunları ortaya koymaktadır: 13.468 tekerlek yayınlama projesinin 13.460’ı kayıt veya zip problemi sergilemez, sadece bir avuç eksik dosya, uyumsuzluk veya kopyalar gösteriyor.
Bu düşük insidans, bu kohortun ötesinde daha nadir sorunlar mevcut olsa da, PYPI’nin değişiklikleri yaygın olarak bozulmadan dağıtma konusundaki güvenini desteklemektedir.
Rapora göre, PYPI bu hafifletmeler nedeniyle hemen kullanıcı eylemi önermez, ancak yükleyici araçlarının gelişmiş güvenlik için güncellenmesini önerir.
Yükleme hatalarıyla karşı karşıya olan proje bakımcılarının oluşturma işlemlerini hassaslaştırması veya araç sorunlarını rapor etmelidir, yükleyici geliştiricilerinin fermuar standartlarına uymaları, merkezi dizin kontrollerine öncelik vermeleri ve kötü formlu tekerlekler üzerinde uyarmak için kayıt doğrulamasını uygulamaları istenir.
Bu önlemler, Python ambalaj ekosistemini gelişen zip tabanlı tehditlere karşı toplu olarak güçlendirir, standardizasyon ve esnekliği teşvik eder.
The Ultimate SOC-as-a-Service Pricing Guide for 2025
– Ücretsiz indir