CVE-2020-5252 in safety Package情報

要約

〜によって VulDB • 2026年05月28日

Python用のコマンドライン「safety」パッケージには、潜在的なセキュリティ問題があります。悪意のあるコードが、他の悪意のあるまたは安全でないパッケージを偽装または難読化することで、コマンドラインのSafetyパッケージの検出ルーチンに「ポイズンピル」を仕掛けることを可能にする、2つのPythonの特性が存在します。この脆弱性は、攻撃がSafetyツール自体ではなく、既存のPythonの条件を利用するため、低重大度と見なされています。これは以下の状況で発生する可能性があります:

- 信頼できないPython環境でSafetyを実行している。 - 依存関係がインストールされているのと同じPython環境からSafetyを実行している。 - 依存関係パッケージが任意に、または適切な検証なしにインストールされている。

ユーザーは以下のいずれかの対策を実施することで、この問題を緩和できます:

- Dockerをインストールし、Safety Dockerイメージを実行して静的解析を行う:$ docker run --rm -it pyupio/safety check -r requirements.txt - 分離されたクリーンなPython環境で、requirements.txtファイルなどの静的な依存関係リストに対してSafetyを実行する。 - 継続的インテグレーション(CI)パイプラインからSafetyを実行する。 - PyUp.ioを使用する。これは制御された環境でSafetyを実行し、依存関係をインストールする必要なくPythonの依存関係をチェックする。 - PyUpのオンライン要件チェッカーを使用する。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

予約する

2020年01月02日

モデレーション

承諾済み

エントリ

VDB-152033

EPSS

0.00366

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!