PyPI最近移除了恶意mitmproxy2Python包。mitmproxy2官方mitmproxyPython库是一个免费的开源交互式HTTPS代理,每周下载量超过40,000次。10月11日,mitmproxy的开发者之一MaximilianHils发推警告用户近期上传到PyPI的mitmproxy2包,称该包与mitmproxy相同,但包含(人为嵌入的)远程代码执行漏洞。Hils的初衷是警告软件开发者,让开发者不要将“mitmproxy2”误认为是“mitmproxy”的新版本,将不安全的代码引入到自己开发的应用程序中。mitmproxy2pypipageHils无意中发现了mitmproxy2Python包。与mitmproxy对比后发现,mitmproxy2去掉了API的所有安全措施:'mitmproxy2'removedAPIprotection。当用户运行mitmproxy的web界面时,只暴露HTTPAPI。.但在移除API的保护后,同一网络上的任何人都可以通过简单的HTTP请求在受害机器上执行代码。目前尚不清楚发布“mitmproxy2”包的用户是出于恶意还是由于编码不安全而取消了API保护。mitmproxy-iframe随后,PyPI移除了mitmproxy2。但在mitmproxy2被移除后不到一天,BleepingComputer的研究人员在PyPI中发现了一个名为mitmproxy-iframe的包。这个包也是官方mitmproxy包的克隆,但也从app.py文件中删除了mitmproxy2中删除的保护。'mitmproxy-iframe'包代码另外,mitmproxy-iframe和mitmproxy2的发布者是同一个人。那么用户的意图就很明确了。本文翻译自:https://www.bleepingcomputer.com/news/security/pypi-removes-mitmproxy2-over-code-execution-concerns/如有转载请注明出处。
