The Python Package Index Blog
·
防止对Python包安装程序的ZIP解析器混淆攻击
💡
原文英文,约1200词,阅读约需5分钟。
📝
内容提要
Python包索引(PyPI)引入新限制,以防止ZIP解析器混淆攻击,保护包安装程序。PyPI将拒绝构造ZIP混淆攻击的归档文件,并逐步淘汰不正确的RECORD文件。用户和维护者应确保工具更新,遵循ZIP标准。
🎯
关键要点
- Python包索引(PyPI)引入新限制,以防止ZIP解析器混淆攻击,保护包安装程序。
- PyPI将拒绝构造ZIP混淆攻击的归档文件,并逐步淘汰不正确的RECORD文件。
- 用户和维护者应确保工具更新,遵循ZIP标准。
- ZIP归档文件的复杂性导致许多安装程序未能正确检查RECORD文件。
- PyPI实施措施以防止攻击者利用ZIP归档的复杂性。
- PyPI将拒绝无效记录和框架信息的ZIP归档。
- PyPI将开始发送警告邮件,提醒用户ZIP内容与RECORD元数据文件不匹配的情况。
- 大多数下载量前15,000的Python包没有ZIP格式或RECORD元数据文件的问题。
- 用户应确保安装工具保持最新,以确保符合Python包和ZIP标准。
- 维护者应确保ZIP实现遵循ZIP标准,并检查中央目录。
❓
延伸问答
PyPI采取了哪些措施来防止ZIP解析器混淆攻击?
PyPI拒绝无效记录和框架信息的ZIP归档,拒绝重复文件名的ZIP归档,并开始发送警告邮件,提醒用户ZIP内容与RECORD元数据文件不匹配。
什么是ZIP解析器混淆攻击?
ZIP解析器混淆攻击是利用ZIP归档的复杂性,导致安装程序错误解析文件,从而可能绕过安全检查的攻击方式。
用户在使用PyPI时应该采取哪些预防措施?
用户应确保安装工具保持最新,以符合Python包和ZIP标准,避免潜在的安全风险。
为什么PyPI要逐步淘汰不正确的RECORD文件?
因为不正确的RECORD文件可能导致安装程序无法正确验证ZIP归档的内容,从而增加安全风险。
大多数下载量前15,000的Python包在ZIP格式上存在问题吗?
几乎所有前15,000个Python包都没有ZIP格式或RECORD元数据文件的问题,这使得PyPI可以安全地实施新措施。
维护者在上传包时遇到错误应该怎么做?
维护者应阅读错误信息,更新自己的构建过程,或将问题报告给构建工具。
➡️
