Уязвимост, открита в кодиращия език Python през 2007 г., може да се използва за изпълнение на код в над 350 000 проекта.
Дефектът на Python присъства от петнадесет години
Неотстранен дефект в Език за програмиране Python сега представлява сериозна заплаха за стотици хиляди проекти. Уязвимостта, известна като CVE-2007-4559, беше открита преди петнадесет години, но се смяташе за нискорискова и следователно не беше коригирана (въпреки че беше издадено предупреждение за разработчиците за пропуска).
Пропускът CVE-2007-4559 съществува във функциите „extract“ и „extractall“ в модула tarfile на Python. Това е грешка при преминаване на пътя, която позволява на злонамерени участници да презаписват произволни файлове чрез качване на злонамерен tarfile. След това този tarfile може да бъде изпълнен, давайки на злонамерения актьор контрол над дадено устройство.
Над 350 000 проекта с отворен и затворен код, обхващащи редица индустрии, могат да бъдат експлоатирани чрез произволно преминаване на пътя с помощта на уязвимостта CVE-2007-4559.
Уязвимостта на Python беше преоткрита през 2022 г
Тази конкретна уязвимост на Python беше преоткрита в началото на 2022 г. от изследователя на уязвимостите на Trellix Касимир Шулц, въпреки че това беше направено случайно по време на разследване на друг проблем със сигурността. Шулц върна CVE-2007-4559 в светлината на прожекторите, въпреки че първоначално се смяташе, че е изцяло нов нулев ден недостатък. Но скоро беше открито, че това всъщност е дългогодишният недостатък на Python, открит преди петнадесет години.
Trellix бързо направи туит, уведомявайки хората за недостатъка и неговата заплаха за базирани на Python проекти.
След това преоткриване Trellix създаде корекции за над 11 000 проекта, въпреки че се смята, че много повече проекти ще получат корекция през следващите седмици. Trellix също създаде безплатен инструмент, наречен Creosote, който може да се използва за сканиране за наличие на уязвимост на CVE-2007-4559 tarfile.
CVE-2007-4559 Предстои да се използва
Въпреки че този езиков недостатък на Python представлява значителна заплаха за хиляди проекти, той изглежда все още не е използван. Изследователите се надяват, че проектите ще бъдат коригирани, преди злонамерените участници да могат да се възползват от недостатъка, въпреки че това може да се случи отнема известно време, а лекотата на експлоатация на CVE-2007-4559 го прави потенциално огромен проблем във веригата за доставки.
Уязвимостите продължават да представляват заплаха както за отделни лица, така и за организации
Уязвимости в сигурността непрекъснато се откриват от изследователи и анализатори, като киберпрестъпниците искат да ги използват, преди да получат корекция. Това ще продължи да бъде проблем във всички индустрии и вероятно ще доведе до допълнителни проблеми в бъдеще. В случая с CVE-2007-4559, Trellix има желание да предостави проекти с поправен код възможно най-скоро, така че този недостатък да не може да бъде злоупотребяван от злонамерени участници.
