forum.opennet.ru - "Брешь в инфраструктуре Python, позволявшая подменить ссылки на релизы на сайте python.org" (17)

"Брешь в инфраструктуре Python, позволявшая подменить ссылки на релизы на сайте python.org"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Брешь в инфраструктуре Python, позволявшая подменить ссылки на релизы на сайте python.org"	+/–
Сообщение от opennews (??), 27-Июн-26, 09:56
Организация Python Software Foundation раскрыла информацию о критической уязвимости в API для управления релизами, которую можно было использовать для атаки на инфраструктуру проекта Python. Уязвимость позволяла обойти систему аутентификации и подключиться к API управления релизами с правами администратора через отправку запроса с любым ключом и указании имени пользователя "admin"... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65786
Ответить \| Правка \| Cообщить модератору

Оглавление

Ох уж эти деды, отстали от жизни Надо как самый безопасный язык было ставится c, Ivan_83 (ok), 10:00 , 27-Июн-26, (2) –1

там обычно курлится сайт по https, а это безопасно, Аноним (13), 11:30 , 27-Июн-26, (13)

Смешные Тут этот ваш https тоже был А учитывая что LE кому попало серты выдаёт и, Ivan_83 (ok), 11:32 , 27-Июн-26, (14) –1

А есть второй пример в методичке Ну, джаббер ру в каком-то лохматом году -- это, q (ok), 11:42 , 27-Июн-26, (18)

На подписи полагаться тоже наивно Вон даже Асус распространял подписанные вирус, Аноним (3), 10:23 , 27-Июн-26, (3)

Асус не монопилист и вообще к софту имеет опосредованное отношение, не удивлюсь , Ivan_83 (ok), 11:28 , 27-Июн-26, (12)

Не монополист, всего лишь 70 рынка комплектующих Включая самые качественные А, Аноним (3), 11:41 , 27-Июн-26, (17)

Да, зато без сегфолтов, поняли , Аноним (4), 10:28 , 27-Июн-26, (4) +1
Кто хоть раз за последние 12 лет скачивал Python Или лучше спросить кто этого н, Аноним (5), 10:58 , 27-Июн-26, (5) +2

Делаю это примерно 100 раз в год, а что , Аноним (3), 11:07 , 27-Июн-26, (6) –2

Часто забываешь, что скачал три дня назад , Аноним (8), 11:11 , 27-Июн-26, (8)

А ты не обновляешь Ну каждое обновление перекомпилировать надо с нужными мне па, Аноним (3), 11:17 , 27-Июн-26, (9)

На Windows да, Аноним (10), 11:24 , 27-Июн-26, (10)

даже не знаю, что тебе посоветоватьноль идей, 12yoexpert (ok), 11:38 , 27-Июн-26, (16)

Это они удачно призасунули , Аноним (8), 11:10 , 27-Июн-26, (7)
Скрыто модератором, Sadok (ok), 11:28 , 27-Июн-26, (11) +1

Скрыто модератором, 12yoexpert (ok), 11:37 , 27-Июн-26, (15)

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Ivan_83 (ok), 27-Июн-26, 10:00 –1 +/–

> Также предполагается, что подмена ссылок на релизы не могла остаться незамеченной, так как многие поставщики при загрузке дополнительно используют систему криптографической верификации кода Sigstore и проверку с использованием PGP-ключей.
Ох уж эти деды, отстали от жизни!
Надо как самый безопасный язык было ставится: curl | sh
Эксперты по безопасности гарантируют!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

3. Сообщение от Аноним (3), 27-Июн-26, 10:23 +/–

На подписи полагаться тоже наивно. Вон даже Асус распространял подписанные вирусы, а ведь монополист.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

4. Сообщение от Аноним (4), 27-Июн-26, 10:28 +1 +/–

Да, зато без сегфолтов, поняли?

Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (5), 27-Июн-26, 10:58 +2 +/–

Кто хоть раз за последние 12 лет скачивал Python? Или лучше спросить кто этого не делал.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #10

6. Сообщение от Аноним (3), 27-Июн-26, 11:07 –2 +/–

Делаю это примерно 100 раз в год, а что?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #8

7. Сообщение от Аноним (8), 27-Июн-26, 11:10 +/–

> Уязвимость присутствовала в коде с 2014 года
Это они удачно призасунули!

Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (8), 27-Июн-26, 11:11 +/–

Часто забываешь, что скачал три дня назад?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #9

9. Сообщение от Аноним (3), 27-Июн-26, 11:17 +/–

А ты не обновляешь? Ну каждое обновление перекомпилировать надо с нужными мне параметрами и патчами (в дистрибутиве даже пго не включали лет 15), часто нужны несколько версий, если на венде задеплоить что-то надо тоже скачиваешь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

10. Сообщение от Аноним (10), 27-Июн-26, 11:24 +/–

На Windows да

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #16

11. Сообщение от Sadok (ok), 27-Июн-26, 11:28 Скрыто ботом-модератором +1 +/–

не знаю ни одного питониуста не употребляющего наркотики

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

12. Сообщение от Ivan_83 (ok), 27-Июн-26, 11:28 +/–

Асус не монопилист и вообще к софту имеет опосредованное отношение, не удивлюсь если они свои кривые софтварные поделки заказывают где то на аутсорсе.
Мне ихний софт с начала 2000х не нравится - держусь от него подальше.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #17

13. Сообщение от Аноним (13), 27-Июн-26, 11:30 +/–

там обычно курлится сайт по https, а это безопасно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #14

14. Сообщение от Ivan_83 (ok), 27-Июн-26, 11:32 –1 +/–

Смешные.
Тут этот ваш https тоже был.
А учитывая что LE кому попало серты выдаёт и историю как MithM делали на джаббер ру то цена этому https около нуля.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #18

15. Сообщение от 12yoexpert (ok), 27-Июн-26, 11:37 +/–

как будто это что-то плохое

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

16. Сообщение от 12yoexpert (ok), 27-Июн-26, 11:38 +/–

даже не знаю, что тебе посоветовать
ноль идей

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

17. Сообщение от Аноним (3), 27-Июн-26, 11:41 +/–

Не монополист, всего лишь 70% рынка комплектующих. Включая самые качественные. А софт у них со всем оборудованием идёт, никуда от этого не денешься.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

18. Сообщение от q (ok), 27-Июн-26, 11:42 +/–

> джаббер ру
А есть второй пример в методичке? Ну, джаббер ру в каком-то лохматом году -- это раз. А есть второй пункт в этом списке, разоблачающий безопасность https? ну так, чтобы все такие: "нихрена себе, в этом списке не один, а как минимум два пункта! вот это охренеть не встать! всё, срочно переходим обратно на telnet и http! потому что https абсолютно не безопасен!"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. Сообщение от Ivan_83 (ok), 27-Июн-26, 10:00	–1 +/–
> Также предполагается, что подмена ссылок на релизы не могла остаться незамеченной, так как многие поставщики при загрузке дополнительно используют систему криптографической верификации кода Sigstore и проверку с использованием PGP-ключей. Ох уж эти деды, отстали от жизни! Надо как самый безопасный язык было ставится: curl \| sh Эксперты по безопасности гарантируют!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13

3. Сообщение от Аноним (3), 27-Июн-26, 10:23	+/–
На подписи полагаться тоже наивно. Вон даже Асус распространял подписанные вирусы, а ведь монополист.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #12

4. Сообщение от Аноним (4), 27-Июн-26, 10:28	+1 +/–
Да, зато без сегфолтов, поняли?
Ответить \| Правка \| Наверх \| Cообщить модератору

5. Сообщение от Аноним (5), 27-Июн-26, 10:58	+2 +/–
Кто хоть раз за последние 12 лет скачивал Python? Или лучше спросить кто этого не делал.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #6, #10

6. Сообщение от Аноним (3), 27-Июн-26, 11:07	–2 +/–
Делаю это примерно 100 раз в год, а что?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #8

7. Сообщение от Аноним (8), 27-Июн-26, 11:10	+/–
> Уязвимость присутствовала в коде с 2014 года Это они удачно призасунули!
Ответить \| Правка \| Наверх \| Cообщить модератору

8. Сообщение от Аноним (8), 27-Июн-26, 11:11	+/–
Часто забываешь, что скачал три дня назад?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #9

9. Сообщение от Аноним (3), 27-Июн-26, 11:17	+/–
А ты не обновляешь? Ну каждое обновление перекомпилировать надо с нужными мне параметрами и патчами (в дистрибутиве даже пго не включали лет 15), часто нужны несколько версий, если на венде задеплоить что-то надо тоже скачиваешь.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

10. Сообщение от Аноним (10), 27-Июн-26, 11:24	+/–
На Windows да
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #16

11. Сообщение от Sadok (ok), 27-Июн-26, 11:28 Скрыто ботом-модератором	+1 +/–
не знаю ни одного питониуста не употребляющего наркотики
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #15

12. Сообщение от Ivan_83 (ok), 27-Июн-26, 11:28	+/–
Асус не монопилист и вообще к софту имеет опосредованное отношение, не удивлюсь если они свои кривые софтварные поделки заказывают где то на аутсорсе. Мне ихний софт с начала 2000х не нравится - держусь от него подальше.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #17

13. Сообщение от Аноним (13), 27-Июн-26, 11:30	+/–
там обычно курлится сайт по https, а это безопасно
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #14

14. Сообщение от Ivan_83 (ok), 27-Июн-26, 11:32	–1 +/–
Смешные. Тут этот ваш https тоже был. А учитывая что LE кому попало серты выдаёт и историю как MithM делали на джаббер ру то цена этому https около нуля.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #18

15. Сообщение от 12yoexpert (ok), 27-Июн-26, 11:37	+/–
как будто это что-то плохое
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11

16. Сообщение от 12yoexpert (ok), 27-Июн-26, 11:38	+/–
даже не знаю, что тебе посоветовать ноль идей
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

17. Сообщение от Аноним (3), 27-Июн-26, 11:41	+/–
Не монополист, всего лишь 70% рынка комплектующих. Включая самые качественные. А софт у них со всем оборудованием идёт, никуда от этого не денешься.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

18. Сообщение от q (ok), 27-Июн-26, 11:42	+/–
> джаббер ру А есть второй пример в методичке? Ну, джаббер ру в каком-то лохматом году -- это раз. А есть второй пункт в этом списке, разоблачающий безопасность https? ну так, чтобы все такие: "нихрена себе, в этом списке не один, а как минимум два пункта! вот это охренеть не встать! всё, срочно переходим обратно на telnet и http! потому что https абсолютно не безопасен!"
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14