Киберэксперт компании «Газинформсервис» Александр Кабанов подчеркнул, что это серьёзный пример того, как проблемы в цепочке поставок ПО могут затронуть миллионы пользователей, ведь речь идёт о более чем 43 миллионах установок Python по всему миру.
Проблема возникла из-за удаления зависимости ‘msgspec-python313-pre’ из репозитория PyPI. Это позволило злоумышленникам опубликовать вредоносный пакет с тем же именем, предоставляя им возможность удалённого выполнения произвольного кода на уязвимых системах.
Александр Кабанов, киберэксперт компании «Газинформсервис», предупреждает: уязвимость позволяет злоумышленникам удалённо выполнять произвольный код на системах, использующих уязвимые версии пакета. Это серьёзная угроза, которая может привести к компрометации данных, краже информации и полному контролю над заражёнными системами.
«Возможность удалённого доступа к системе и выполнение произвольного кода из-за отсутствующей зависимости показывает, насколько важно при каждой сборке анализировать код и зависимости, а также оперативно обновлять ПО. В этом контексте решения вроде SafeERP, которые помогают организациям обеспечивать комплексную защиту информационных систем и контролировать безопасность кода на всех этапах, становятся особенно актуальными», — отметил Кабанов. Читайте также Как не превратить 1С в конструктор желаний? Можно ли одновременно сохранить гибкость и стабильность системы? Как организовать поддержку так, чтобы пользователи не превращали ИТ-отдел в бюро «скоропомощников», а бизнес не страдал от бесконечных «доработок на коленке»?
Источник: www.it-world.ru