Уязвимость, обнаруженная в языке программирования Python в 2007 году, может быть использована для выполнения кода в более чем 350 000 проектов.
Недостаток Python существует уже пятнадцать лет
Неисправленный недостаток в Язык программирования Python теперь представляет серьезную угрозу сотням тысяч проектов. Уязвимость, известная как CVE-2007-4559, была обнаружена пятнадцать лет назад, но считалась малоопасной, поэтому не была исправлена (хотя разработчикам было выдано предупреждение о уязвимости).
Уязвимость CVE-2007-4559 существует в функциях «extract» и «extractall» в модуле tarfile Python. Это ошибка обхода пути, которая позволяет злоумышленникам перезаписывать произвольные файлы, загружая вредоносный tar-файл. Затем этот tar-файл можно запустить, предоставив злоумышленнику контроль над данным устройством.
Более 350 000 проектов с открытым и закрытым исходным кодом, охватывающих различные отрасли, могут быть взломаны путем обхода произвольного пути с использованием уязвимости CVE-2007-4559.
Уязвимость Python была обнаружена заново в 2022 году
Эта конкретная уязвимость Python была повторно обнаружена в начале 2022 года исследователем уязвимостей Trellix Казимиром Шульцем, хотя это было сделано случайно при исследовании другой проблемы безопасности. Шульц снова привлек внимание к CVE-2007-4559, хотя сначала считалось, что это совершенно новая нулевой день недостаток. Но вскоре выяснилось, что на самом деле это был давний недостаток Python, обнаруженный пятнадцать лет назад.
Trellix быстро опубликовал твит, уведомив людей об уязвимости и ее угрозе для проектов на основе Python.
После этого повторного открытия Trellix создала исправления для более чем 11 000 проектов, хотя предполагается, что многие другие проекты получат исправления в ближайшие недели. Trellix также создал бесплатный инструмент под названием Creosote, который можно использовать для сканирования на наличие уязвимости CVE-2007-4559 в tar-файле.
CVE-2007-4559 еще предстоит использовать
Хотя этот недостаток языка Python представляет серьезную угрозу для тысяч проектов, он, похоже, еще не был использован. Исследователи надеются, что проекты будут исправлены до того, как злоумышленники смогут воспользоваться уязвимостью, хотя это может потребуется некоторое время, а простота эксплуатации CVE-2007-4559 делает ее потенциально серьезной проблемой цепочки поставок.
Уязвимости продолжают представлять угрозу как для отдельных лиц, так и для организаций
Исследователи и аналитики постоянно обнаруживают уязвимости в системе безопасности, и киберпреступники стремятся использовать их до того, как получат исправление. Это будет по-прежнему вызывать озабоченность во всех отраслях и, вероятно, вызовет дополнительные проблемы в будущем. Что касается CVE-2007-4559, Trellix стремится предоставить проекты с исправленным кодом как можно скорее, чтобы злоумышленники не могли злоупотребить этой уязвимостью.