Kritična ranjivost na python.org mogla je da omogući kreiranje lažnih administratorskih zahteva
Kritična ranjivost na python.org mogla je omogućiti napadačima da se predstavljaju kao administratori i preusmere korisnike na maliciozne verzije.
Šta se desilo?
Ozbiljna ranjivost u API-ju za upravljanje izdanjima na python.org mogla je da omogući napadačima da se predstavljaju kao administratori i pristupe funkcijama sa punim privilegijama. Ranjivost je bazirala na greški u autentifikaciji - napadač je mogao da koristi proizvoljni API ključ sa administratorskim korisničkim imenom i sistem bi to prihvatio kao validan zahtev. Ova greška je postojala u kodu od 2014. godine, što znači da je Python bila potencijalno ranjiva gotovo deceniju.
Koji je rizik?
Ako bi ranjivost bila iskoriščena, napadač bi mogao da menja metapodatke o izdanjima Pythona na python.org, što uključuje i URL adrese za preuzimanje. Iako ne bi mogao direktno da izmeni same Python binarne datoteke, mogao bi da preusmeri korisnike na škodljive verzije ili da tamper-uje URL-ove za verifikaciju - uključujući Sigstore potpise i PGP ključeve. To bi omogućilo masovni napada na lanac snabdevanja koji bi zahvatio milione Python korisnika i distributera širom sveta.
Koga pogađa?
Rizik je potencijalno pogađao sve koji koriste Python - od redovnih programera do velikih tehnoloških kompanija koje se oslanjaju na Python ekosistem. Posebno su ugroženi bili korisnici koji preuzimaju Python sa zvaničnog sajta i računaju na autentičnost datoteka. Lanac snabdevanja u tehnološkom sektoru mogao je biti značajno narušen u slučaju iskorišćavanja.
Kako se zaštititi?
- Koristite samo zvanične kanale za preuzimanje Pythona - python.org - i nikada ne klonite iz nepoznatih izvora
- Uvek proverite digitalne potpise preuzimanja - Sigstore ili PGP potpise - ako su dostupni
- Ako ste bile administrator python.org koji je primetio sumnjive aktivnosti u periodu pre 24. februara 2026., odredite pristupe i logove kako biste isključili bilo koji compromis
- Pratite zvanične bezbednosne saopštenja Python zajednice i reagujte na sve preporuke sa prioritetom
Tehnički detalji
Ranjivost je bila klasičan case authentication bypass - sistem je prihvatao zahteve koji su kombinovali administratorsko korisničko ime sa bilo kojim API ključem bez provere da li taj ključ zaista pripada tom nalogu. Python Security Response Team (PSRT) je potvrdio ranjivost na lokalnoj instanci i izdao zakrpu u roku od 24 časa. Dokazni koncept je prestao da radi do 24. februara. Dodatne zaštitne mere koje su implementirane uključuju: validaciju URL-a (sistem sada odbija sve URL-e koji ne počinju sa https://www.python.org/), obavezno korišćenje HTTPS protokola za novija izdanja, nove testove za sve grane autentifikacije koje bi trebalo da se odbace, i proširenje čuvanja log-a sa 3 dana na 30 dana. Treću stransku reviziju sprovela je firma Trail of Bits, finansirano od OpenAI-a, i potvrdila da nema dodatnih problema sa autentifikacijom ili autorizacijom.
Zašto je važno za region?
Python je jedan od najčešće korišćenih programskih jezyka u regiji Zapadnog Balkana - koristi ga sve od škola i fakulteta do startup-a i većih tehnoloških kompanija. Lanac snabdevanja Pythona je kritičan za bezbedan razvoj softvera u našem regionu. Ranjivost koja bi mogla da preusmeri milione korisnika na škodljive verzije direktno bi uticala na svakoga ko razvija ili koristi Python zavisnosti. Brz odgovor Python zajednice pokazuje kako transparentnost i brzina u lečenju sigurnosnih problema štiti čitav ekosistem.
Preporuka Sajber Radara
Uprkos što je ranjivost brzo zakrpljena i nema dokaza da je iskoriščena, ova vest ilustruje važnost verifikovanja integriteta softvera pre nego što ga instalirate. Zdravokritično koristite samo zvanične izvore i digitalne potpise - svaki put kada je to moguće.