防止对Python包安装程序的ZIP解析器混淆攻击
💡
原文英文,约1200词,阅读约需5分钟。
📝
内容提要
Python包索引(PyPI)引入新限制,以防止ZIP解析器混淆攻击,保护包安装程序。PyPI将拒绝构造ZIP混淆攻击的归档文件,并逐步淘汰不正确的RECORD文件。用户和维护者应确保工具更新,遵循ZIP标准。
🎯
关键要点
- Python包索引(PyPI)引入新限制,以防止ZIP解析器混淆攻击,保护包安装程序。
- PyPI将拒绝构造ZIP混淆攻击的归档文件,并逐步淘汰不正确的RECORD文件。
- 用户和维护者应确保工具更新,遵循ZIP标准。
- ZIP归档文件的复杂性导致许多安装程序未能正确检查RECORD文件。
- PyPI实施措施以防止攻击者利用ZIP归档的复杂性。
- PyPI将拒绝无效记录和框架信息的ZIP归档。
- PyPI将开始发送警告邮件,提醒用户ZIP内容与RECORD元数据文件不匹配的情况。
- 大多数下载量前15,000的Python包没有ZIP格式或RECORD元数据文件的问题。
- 用户应确保安装工具保持最新,以确保符合Python包和ZIP标准。
- 维护者应确保ZIP实现遵循ZIP标准,并检查中央目录。
➡️
