One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8398387 |
| Date de publication | 2023-10-20 19:15:08 (vue: 2023-10-20 21:08:14) |
| Titre | CVE-2023-45805 |
| Texte | PDM est un package Python et un gestionnaire de dépendances prenant en charge les dernières normes PEP.Il est possible de créer un fichier «pdm.lock» malveillant qui pourrait permettre par exempleUn initié ou un projet open source malveillant semble dépendre d'un projet PYPI de confiance, mais d'installer en fait un autre projet.Un projet «FOO» peut être ciblé en créant le projet «FOO-2» et en téléchargeant le fichier `foo-2-2.tar.gz` à pypi.org.PYPI verra cela comme un projet `Foo-2` version` 2`, tandis que PDM verra cela comme un projet «FOO» Version »2-2`.La version ne doit être que «analyse en version» et le nom de fichier doit être un préfixe du nom du projet, mais il n'est pas vérifié pour correspondre à la version installée.La version `2-2` n'est pas non plus une version normalisée valide par PEP 440. La correspondance du nom du projet (pas seulement le préfixe) résoudrait le problème.Lors de l'installation de dépendances avec PDM, ce qui est réellement installé pourrait différer de ce qui est répertorié dans `pyproject.toml` (y compris l'exécution de code arbitraire sur l'installation).Il pourrait également être utilisé pour les attaques de rétrogradation en modifiant uniquement la version.Ce problème a été résolu dans Commit `6853E2642DF` qui est inclus dans la version de version` 2.9.4`.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
pdm is a Python package and dependency manager supporting the latest PEP standards. It\'s possible to craft a malicious `pdm.lock` file that could allow e.g. an insider or a malicious open source project to appear to depend on a trusted PyPI project, but actually install another project. A project `foo` can be targeted by creating the project `foo-2` and uploading the file `foo-2-2.tar.gz` to pypi.org. PyPI will see this as project `foo-2` version `2`, while PDM will see this as project `foo` version `2-2`. The version must only be `parseable as a version` and the filename must be a prefix of the project name, but it\'s not verified to match the version being installed. Version `2-2` is also not a valid normalized version per PEP 440. Matching the project name exactly (not just prefix) would fix the issue. When installing dependencies with PDM, what\'s actually installed could differ from what\'s listed in `pyproject.toml` (including arbitrary code execution on install). It could also be used for downgrade attacks by only changing the version. This issue has been addressed in commit `6853e2642df` which is included in release version `2.9.4`. Users are advised to upgrade. There are no known workarounds for this vulnerability. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 440 45805 `2` `6853e2642df` `foo `foo` `parseable `pdm `pyproject actually addressed advised allow also another appear arbitrary are attacks been being but can changing code commit could craft creating cve depend dependencies dependency differ downgrade exactly execution file filename fix from gz` has included including insider install installed installing issue just known latest listed lock` malicious manager match matching must name normalized not only open org package pdm pep per possible prefix project pypi python release see source standards supporting tar targeted toml` trusted upgrade uploading used users valid verified version version` vulnerability what when which will workarounds would |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.