Hlavní navigace

Kritická zranitelnost v NumPy

25. 1. 2019

Sdílet

Byla objevena kritická zranitelnost v NumPy CVE-2019–6446. Zranitelné jsou verze 1.10 (2015) – 1.16 (14. ledna 2019). Problém je v modulu pickle, pokud nahrajete škodlivý kód pomocí numpy.load spolu s allow_pickle (zavedeno právě ve verzi 1.10), tak může dojít ke spuštění kódu.

Dočasným řešením je tedy nastavit allow_pickle na false, což bude patrně také výchozí nastavení v NumPy 1.17.

(zdroj: bleepingcomputer)

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 25. 1. 2019 21:53

    jxjl (neregistrovaný)

    On problém nebude v numpy, ale v pickle samotném. Poměrně často, když vidím někoho psát o pickle, tak k tomu dodává pozor pickle není dakrát bezpečné, datové soubory mohou obsahovat spustitelný kód, pokud to lze, použijte něco jiného.

  • 26. 1. 2019 1:01

    Sadam (neregistrovaný)

    Mam pocit ze v offic dokumentaci k pickle je giganticky alert ze neni bezpecne pres to nahravat soubory z neznameho zdroje...

  • 26. 1. 2019 4:20

    Jenda (neregistrovaný)

    To není problém/chyba, to je feature. Smyslem pickle je umožnit ukládat a nahrávat věci tak jak jsou, včetně kódu. Pokud chceš ukládat jenom data, použij něco jiného.

  • 26. 1. 2019 7:32

    operatot (neregistrovaný)

    Ano, pickle neni bezpecne.A v dokumentaci se v cervenem alertu varuje:

    Warning The pickle module is not secure against erroneous or maliciously constructed data. Never unpickle data received from an untrusted or unauthenticated source.

    https://docs.python.org/3/library/pickle.html

    Je to urcene na to, aby sis mohl serializovat svoje data, treba pri posilani mezi svymi procesy rourou. Neni to urceno k ukladani a nacitani cizich dat. Takze chyba neni v pickle, ale v jeho chybnem pouziti. To same se tyka treba funkce eval(). Jsou to silne ale nebezpecne nastroje, ktere se musi umet pouzivat.

Byl pro vás článek přínosný?

Autor zprávičky

První linux nainstaloval kolem roku 1994 a u něj zůstal. Později vystudoval fyziku a získal doktorát.