Уязвимость в коде Python пятнадцатилетней давности представляет угрозу для более чем 350 000 проектов
Уязвимость, обнаруженная в языке кодирования Python в 2007 году, может быть использована для выполнения кода в более чем 350 000 проектов
Уязвимость в Python существует уже пятнадцать лет
Неисправленный дефект в языке программирования Python теперь представляет серьезную угрозу для сотен тысяч проектов. Уязвимость, известная как CVE-2007-4559, была обнаружена пятнадцать лет назад, но считалась малоопасной, и поэтому не была исправлена (хотя разработчикам было выдано предупреждение об этом недостатке)
Дефект CVE-2007-4559 существует в функциях “extract ; и “extractall ; модуля tarfile в Python ;Это ошибка обхода пути, которая позволяет злоумышленникам перезаписывать произвольные файлы путем загрузки вредоносного tarfile. Затем этот tarfile может быть исполнен, что дает злоумышленнику контроль над определенным устройством
Более 350 000 проектов с открытым и закрытым исходным кодом, охватывающих различные отрасли, могут быть использованы для произвольного обхода путей с помощью уязвимости CVE-2007-4559
Уязвимость Python была вновь обнаружена в 2022 году
Эта конкретная уязвимость Python была вновь обнаружена в начале 2022 года исследователем уязвимостей Trellix Казимиром Шульцем, хотя это было сделано случайно при изучении другой проблемы безопасности. Шульц вернул CVE-2007-4559 в центр внимания, хотя сначала считалось, что это совершенно новый дефект нулевого дня. Но вскоре выяснилось, что на самом деле это давний дефект Python, обнаруженный пятнадцатью годами ранее
Трелликс быстро сделал твит, уведомляющий людей о дефекте и его угрозе для проектов на базе Python
После этого повторного обнаружения Trellix создал патчи для более чем 11 000 проектов, хотя предполагается, что еще многие проекты получат патчи в ближайшие недели.Trellix также создала бесплатный инструмент под названием Creosote, который можно использовать для сканирования на наличие уязвимости CVE-2007-4559 в tarfile
CVE-2007-4559 еще не эксплуатируется
Хотя этот недостаток языка Python представляет значительную угрозу для тысяч проектов, похоже, что он еще не был использован. Исследователи надеются, что проекты будут исправлены до того, как злоумышленники смогут использовать этот недостаток, хотя это может занять некоторое время, а легкость эксплуатации CVE-2007-4559 делает его потенциально огромной проблемой цепочки поставок
Уязвимости продолжают представлять угрозу как для отдельных людей, так и для организаций
Исследователи и аналитики постоянно обнаруживают уязвимости в системе безопасности, а киберпреступники стремятся использовать их до получения исправлений. Это будет оставаться проблемой во всех отраслях и, вероятно, вызовет новые проблемы в будущем. В случае с CVE-2007-4559, Trellix стремится предоставить проектам исправленный код как можно скорее, чтобы этим недостатком не смогли воспользоваться злоумышленники
Комментировать