2024-07-16 www.dnxtw.com
电脑系统网 7 月 16 日信息,网络安全专家看到了出现意外泄露的 GitHub token,能够以最大权限浏览 Python 语言表达、Python 软件包检索(PyPI)和 Python 软件慈善基金会(PSF)存储库。
网络安全公司 JFrog 表示该 GitHub 私浏览 token 代管在 Docker Hub 里的公有制 Docker 容器里,电脑系统网另附博闻有关具体内容如下:
这宗安全案例非常特殊,若该 token 掉入犯罪分子的手中,其潜在性杀伤力再怎么形容也不过分,比如网络攻击能将恶意代码引入 PyPI 软件包(再升级全部 Python 软件包替换为故意软件),甚至可以在 Python 语言表达自身中注入恶意代码。
JFrog 在公共 Docker 容器一个编译程序 Python 文档(“build.cpython-311.pyc”)中发现其验证 token,于 2023 年 3 月 3 日前建立,因为安全性日意在 90 天后已停用,目前尚不清楚实际建立日期。
JFrog 于 2024 年 6 月 28 日公布该 token 以后,有关 token 马上被吊销,没有证据表明该 token 是被黑客利用。
广告宣传申明:文章正文所含的对外开放跳转页面(包括不限于网页链接、二维码、动态口令等方式),用以传递更多信息,节约优选时长,结论仅作参考,电脑系统网全部文章内容均包括本声明。