[pyar] Backdoor en el paquete ssh-decorator
Carlos Matías
cmdelatorre en gmail.com
Jue Mayo 24 07:48:10 -03 2018
Primero, no todos los paquetes están en GitHub. Segundo ¿Vas a entrar a
leer el código de todas las dependencias, siempre?
On Thu, May 24, 2018, 04:33 Gonz Rafuls <grafuls en gmail.com> wrote:
>
>
> El 9 de mayo de 2018, 3:51, Tordek <kedrot en gmail.com> escribió:
>
>> En el thread de reddit[1] donde lo descubrieron alguien menciona que
>> en el historial del repo de GH no están las líneas relevantes.
>>
>> > I browsed the blame and commit history of the github repo and couldn't
>> find the offending lines. It seems to me that ugoren's pypi password was
>> compromised.
>>
>
> Esto me genera mucha desconfianza a la hora de instalar paquetes para mis
> proyectos desde pypi.
> Me pregunto si refactorizar todos mis requirements.txt a usar GitHub
> sources directamente en lugar de pypi seria una buena idea.
>
>
>>
>> De paso, para los que no entraron a tiempo al repo, el autor puso un
>> prqueño aviso al principio:
>>
>> > Important note !
>>
>> > It has been brought to our attention, that previous versions of this
>> module had been hijacked and uploaded to PyPi unlawfully. Make sure you
>> look at the code of this package (or any other package that asks for your
>> credentials) prior to using it.
>>
>>
>> [1]
>> https://www.reddit.com/r/Python/comments/8hvzja/backdoor_in_sshdecorator_package/
>>
>> 2018-05-08 22:26 GMT-03:00 Emiliano Dalla Verde Marcozzi
>> <edvm en fedoraproject.org>:
>> > El 8 de mayo de 2018, 19:32, Federico Jurio <fdjurio en gmail.com>
>> escribió:
>> >>
>> >> Si están usando ssh-decorator en alguno de sus proyectos revisen si no
>> >> tienen alguna versión con esta falla de seguridad
>> >> https://i.redd.it/zu0guck3cmw01.png que roba las credenciales ssh.
>> >>
>> >> El paquete ya fue removido de PyPi y en el repo dejaron una nota al
>> >> respecto https://github.com/urigoren/ssh_decorator
>> >>
>> >> Saludos
>> >
>> >
>> > Durisimo! Veo dieron de baja el package de Pypi y borraron el repo de
>> > github.
>> > Me llama la atención que a donde hacia el post de los datos de las
>> > credenciales,
>> > el domain también es `ssh-decorate.cf`. Lo habrá hecho el owner del
>> > proyecto?
>> > Bajón borraron el repo de GH, no podemos usar `blame` para saber quien
>> > agrego
>> > esas lineas.
>> > Gracias por la data!
>> >
>> > --
>> > --
>> > iex(1)> [104, 116, 116, 112, 58, 47, 47, 103, 105, 116, 104, 117, 98,
>> 46,
>> > 99, 111, 109,
>> > 47, 101, 100, 118, 109]
>> > https://e-dvm.blogspot.com
>> >
>> > _______________________________________________
>> > Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>> > Sitio web: http://www.python.org.ar/
>> >
>> > Para administrar la lista (o desuscribirse) entrar a
>> > http://listas.python.org.ar/listinfo/pyar
>> >
>> > La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>> > Argentina - http://www.usla.org.ar
>> _______________________________________________
>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>> Sitio web: http://www.python.org.ar/
>>
>> Para administrar la lista (o desuscribirse) entrar a
>> http://listas.python.org.ar/listinfo/pyar
>>
>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>> Argentina - http://www.usla.org.ar
>
>
> _______________________________________________
> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
> Sitio web: http://www.python.org.ar/
>
> Para administrar la lista (o desuscribirse) entrar a
> http://listas.python.org.ar/listinfo/pyar
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20180524/bb11ddf6/attachment.html>
Más información sobre la lista de distribución pyar