PyPI: Preventing ZIP parser confusion attacks on Python package installers
9 months ago
- #Python
- #Packaging
- #Security
- PyPI引入新限制措施,防止针对Python包安装程序的ZIP解析混淆攻击
- PyPI现已拒绝利用混淆攻击的ZIP压缩包
- 目前未发现通过PyPI实际利用该漏洞的证据
- PyPI将逐步淘汰RECORD文件不正确的wheel发行包
- Wheel本质是ZIP归档,而ZIP标准本身存在复杂性和模糊性
- PyPI将拒绝包含无效记录、重复文件名、头信息不匹配、尾部冗余数据或中央目录定位值错误的ZIP文件
- PyPI将先警告后拒收ZIP内容与RECORD元数据不匹配的wheel包
- 大多数主流Python包不存在ZIP或RECORD问题,预计影响范围有限
- 建议措施包括:更新安装工具、检查构建流程、确保ZIP实现符合标准规范