close-btn

Сотні тисяч проектів під ударом: У Python так і не закрили вразливість, знайдену у 2007 році

Під ударом опинилося понад 350 000 проектів з відкритим вихідним кодом

https://www.techworm.net/

Невиправлена вразливість у мові програмування Python тепер представляє серйозну загрозу для сотень тисяч проектів. Вразливість, відома як CVE-2007-4559, була виявлена ​​п’ятнадцять років тому, але вважалася малонебезпечною, тому і не була виправлена ​​(хоча розробникам видали попередження про вразливість).

Вразливість CVE-2007-4559 існує у функціях «extract» та «extractall» у модулі tarfile Python. Це помилка обходу шляху, що дозволяє зловмисникам перезаписувати довільні файли, завантажуючи шкідливий tar-файл. Потім цей tar-файл можна запустити, надавши зловмиснику контроль над цим пристроєм.

Компанія Trellix, фахівці якої і виявили вразливість, створила свій інструмент під назвою Creosote, який допомагає шукати CVE-2007-4559. Саме з його допомогою дослідники виявили вразливість у Spyder Python IDE та Polemarch. Крім того, експерти Trellix вже підготували виправлення більш ніж 11 000 проектів. Дослідники очікують, що понад 70 000 репозиторіїв отримають виправлення протягом найближчих кількох тижнів.

Хоча цей недолік мови Python становить серйозну загрозу, він, схоже, жодного разу не був використаний. Дослідники сподіваються, що проекти буде виправлено до того, як зловмисники зможуть скористатися вразливістю.

ЧИТАЙТЕ ТАКОЖ:

google news