Hlavní navigace

Kritická zranitelnost v NumPy

Sdílet

Jan Fikar 25. 1. 2019

Byla objevena kritická zranitelnost v NumPy CVE-2019–6446. Zranitelné jsou verze 1.10 (2015) – 1.16 (14. ledna 2019). Problém je v modulu pickle, pokud nahrajete škodlivý kód pomocí numpy.load spolu s allow_pickle (zavedeno právě ve verzi 1.10), tak může dojít ke spuštění kódu.

Dočasným řešením je tedy nastavit allow_pickle na false, což bude patrně také výchozí nastavení v NumPy 1.17.

(zdroj: bleepingcomputer)

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 25. 1. 2019 21:53

    jxjl (neregistrovaný) ---.customers.tmcz.cz

    On problém nebude v numpy, ale v pickle samotném. Poměrně často, když vidím někoho psát o pickle, tak k tomu dodává pozor pickle není dakrát bezpečné, datové soubory mohou obsahovat spustitelný kód, pokud to lze, použijte něco jiného.

  • 26. 1. 2019 1:01

    Sadam (neregistrovaný) ---.v4.cust.lemointernet.cz

    Mam pocit ze v offic dokumentaci k pickle je giganticky alert ze neni bezpecne pres to nahravat soubory z neznameho zdroje...

  • 26. 1. 2019 4:20

    Jenda (neregistrovaný) ---.net.upcbroadband.cz

    To není problém/chyba, to je feature. Smyslem pickle je umožnit ukládat a nahrávat věci tak jak jsou, včetně kódu. Pokud chceš ukládat jenom data, použij něco jiného.

  • 26. 1. 2019 7:32

    operatot (neregistrovaný) ---.eurotel.cz

    Ano, pickle neni bezpecne.A v dokumentaci se v cervenem alertu varuje:

    Warning The pickle module is not secure against erroneous or maliciously constructed data. Never unpickle data received from an untrusted or unauthenticated source.

    https://docs.python.org/3/library/pickle.html

    Je to urcene na to, aby sis mohl serializovat svoje data, treba pri posilani mezi svymi procesy rourou. Neni to urceno k ukladani a nacitani cizich dat. Takze chyba neni v pickle, ale v jeho chybnem pouziti. To same se tyka treba funkce eval(). Jsou to silne ale nebezpecne nastroje, ktere se musi umet pouzivat.