YAML Load Executes Arbitrary Code Compromising 470 Servers?!
YAML RCE APOCALYPSE! yaml.load() executes Python! Attacker uploads malicious config! Backdoor on all servers! 4.7M database exfiltrated! $47M breach! CISO ARRESTED!
#python #pythondisaster #yaml #remotecodeexecution #configloading #productionbug #pythonshorts #pythonwtf #deserialization #careerending #criminalcharges #pyyaml
Just stumbled upon some oddities in #PyYAML and the #YAML 1.1 spec when working on a bug report of #kas. Asked an #LLM and argued with it. TL;DR: Always check the answers against the actual spec.
#oss
Projekt #PyYAML odrzucił wsparcie dla Pythona bez GIL (#freethreading). Skutkiem tego, powstał fork skupiony na dodaniu tego wsparcia. Ze względu na ograniczone potrzeby forka, wspiera on tylko Pythona 3.13+. A że nie da się jeszcze wyrażać zależności warunkowo od wersji freethreading, inne paczki wymagają PyYAML-ft dla wersji Pythona >=3.13 (w tym zwyczajnej, z GIL-em) i zwykłego PyYAML dla <3.13.
Czy świat paczek Pythona nie jest super?
https://github.com/yaml/pyyaml/pull/830#issuecomment-2342475334
https://github.com/Instagram/LibCST/blob/18d4f6aded907bd11b683fa54dad32ca04f84f75/pyproject.toml#L21-L24
#PyYAML rejected #freethreading support. As a result, a new fork has been created with freethreading support. Given the fork's focus on freethreading, it supports only Python 3.13+. Given the lack of environment markers for freethreading (yet), packages end up depending on PyYAML-ft for >=3.13 (including non-freethreading builds), and PyYAML for <3.13.
Isn't #Python #packaging great?
https://github.com/yaml/pyyaml/pull/830#issuecomment-2342475334
https://github.com/Instagram/LibCST/blob/18d4f6aded907bd11b683fa54dad32ca04f84f75/pyproject.toml#L21-L24
#PyYaml -> 🚮 slow, slower, slowest
This library is depended on by a 867 packages ( #pyyaml , requests, hypothesis ), has a bogus CVE and is abandonware.
That's a bit under 1000 releases not counting the iceberg of closed source.
Who files these bogus CVEs, it is like setting $10,000 on fire, but in $100 piles all across the country.
ℹ️ He actualitzat #PyXavi a la versió v0.3.3, sol.lucionant un problema de dependències amb #PyYaml, que van publicar la 6.0 que al seu torn està trencada i es sol.luciona amb la 6.0.1
La versió ja està publicada a #PyPI
https://pypi.org/project/pyxavi/
Coses de #Python :python:
Wow I thought I was not affected by the PyYAML uncapped Cython disaster https://github.com/yaml/pyyaml/issues/601 but it turns out I can't install `docker-compose`.
I often refer to @henryiii blog post on the matter https://iscinumpy.dev/post/bound-version-constraints/ but I think in this case it was a big mistake not to cap Cython. In the end, build dependencies are throwaway dependencies, they are used in a temporary, isolated environment and then never used again.
Miałem pisać o fajnych rzeczach, a zamiast tego ciągniemy temat #PyYAML. Autorzy wciąż odrzucają poprawki zgodności z #Cython 3. Jest już dosyć jasne, że dystrybucje będą musiały męczyć się z własnymi łatkami jeszcze przez długi czas. Wzdych.
I wanted to write about something fun but instead we continue that sad topic of #PyYAML that keeps refusing to fix #Cython 3 compatibility properly. At this point, it sounds pretty likely that most of the distributions will have to carry custom patches for the foreseeable future. Sigh.
The #PyYAML problem is only getting better. People are trying really hard to make their things work again. Apparently there's a way to force constraints on pip but it's not a perfect solution either.
I have two thoughts about this:
1. *Finally*, it's not just us in #Gentoo being hit by constraint conflicts (i.e. two packages in depgraph requiring different #Cython versions).
2. Given that PyYAML knew about the problem for a year and a half and did nothing to avoid it… do you think it's a good idea to continue using that package? Or #YAML in particular, Norway?
https://discuss.python.org/t/no-way-to-pin-build-dependencies/29833
Sytuacja z #PyYAML-em jest rozwojowa. Wiara coraz bardziej stara się niezależnie naprawiać swoje zabawki. Najwyraźniej pip pozwala na odgórne ograniczenie akceptowalnych wersji pakietów, ale to również nie rozwiązuje problemu w pełni.
Mam dwie myśli:
1. *W końcu* nie tylko my w #Gentoo mamy problem sprzecznych oczekiwań różnych paczek (czyt. nie tylko nam się wszystko sypie, bo potrzeba dwóch różnych wersji Cythona jednocześnie).
2. Biorąc pod uwagę, że problem znany był półtora roku, i autorzy PyYAML-a nie zrobili nic, żeby go rozwiązać… czy naprawdę sądzicie, że dalsze używanie tej paczki to dobry pomysł? Albo szerzej mówiąc, czy użycie YAML-a to dobry pomysł, Norway?
https://discuss.python.org/t/no-way-to-pin-build-dependencies/29833
Remember how #PyYAML ignored #Cython 3 compatibility problems for a year and a half? Well, Cython 3 got released today and now the related bug exploded when tons of pipelines suddenly started failing.
A pamiętacie jak #PyYAML ignorował problem zgodności z Cythonem 3 przez półtora roku? No więc, #Cython 3 wyszedł dzisiaj i zgłoszenie błędu eksplodowało, kiedy pierdyliard potoków zaczęło się sypać.
PyYAMLがyaml.loadでYAMLLoadWarningを出してくるようになった件 by TakamiChie https://qiita.com/TakamiChie/items/fbdbfc1dc659efb24998 #Qiita #Python #Python3 #PyYAML @
