NumPy kutubxonasida muhim zaiflik aniqlandi.
Muammo NumPy ning 1.10 dan 1.16 gacha bo’lgan versiyalariga ta’sir qiladi..
Mashhur NumPy kutubxonasida modullardan birining xavfsiz bo’lmagan ishlatilishi bilan bog’liq zaiflik aniqlandi, bu esa masofadan turib kodni bajarish imkonini beradi. Muammo xavfsizlik bo’yicha tadqiqotchi Shervel Nanning e’tiboriga havola qilindi. Zaiflik pickle modulida joylashgan bo’lib, u Pythonda murakkab obyektlarni saqlash va yuklash uchun ishlatiladi. Tadqiqotchining so’zlariga ko’ra, agar Python ilovasi zararli ma’lumotlarni ‘numpy.load’ funksiyasi yordamida yuklasa, tajovuzkor tizimdagi kodni masofadan turib bajarishi mumkin.
Muammo NumPy ning 1.10 dan 1.16 gacha bo’lgan versiyalariga (joriy versiya) ta’sir qiladi va loyiha yaratuvchilari hozirda uni tuzatish ustida ishlamoqdalar. SUSE muhandislari zaiflik SUSE Linux Enterprise 15 va SUSE Linux Enterprise 12 Service Pack 2 ga ta’sir qilishini tasdiqladilar.
Nan foydalanuvchilarga yuklanayotgan ma’lumotlarning xavfsizligiga ishonchlari komil bo’lmasa, «numpy.load» funksiyasidagi «allow_pickle» parametrini «False» ga o’rnatishni tavsiya qildi. Ishlab chiquvchilar NumPy 1.17 da shunga o’xshash chorani amalga oshirishni, shuningdek, ma’lumotlar massivlarini import qilishda ogohlantirish qo’shishni rejalashtirmoqdalar, shunda foydalanuvchilar faqat ma’lumotlar xavfsizligiga ishonchlari komil bo’lgan taqdirdagina yuklashga ruxsat berishlari mumkin.
Zaiflikka CVE-2019-6446 identifikatori berilgan va CVSS v3 tasnifiga ko’ra, mumkin bo’lgan 10 balldan 9,8 ball jiddiylik reytingiga ega.
NumPy – bu katta ko’p o’lchovli massivlar va matritsalarni qo’llab-quvvatlaydigan Python tili kengaytmasi, shuningdek, ushbu massivlarni boshqarish uchun yuqori darajadagi matematik funktsiyalarning katta kutubxonasi.
