2007 m. „Python“ kodavimo kalbos pažeidžiamumas gali būti naudojamas kodo vykdymui daugiau nei 350 000 projektų.

Python trūkumas egzistuoja jau penkiolika metų

Nepataisytas defektas Python programavimo kalba dabar kelia rimtą grėsmę šimtams tūkstančių projektų. Pažeidžiamumas, žinomas kaip CVE-2007-4559, buvo aptiktas prieš penkiolika metų, tačiau buvo laikomas mažos rizikos, todėl nebuvo pataisytas (nors kūrėjai buvo įspėti dėl trūkumo).

CVE-2007-4559 trūkumas egzistuoja Python tarfile modulio funkcijose „Extract“ ir „Extractall“. Tai kelio perėjimo klaida, leidžianti piktybiniams veikėjams perrašyti savavališkus failus įkeliant kenkėjišką tarfilą. Tada šis failas gali būti vykdomas, suteikiant kenkėjiškam veikėjui konkretaus įrenginio kontrolę.

Daugiau nei 350 000 atvirojo ir uždarojo kodo projektų, apimančių įvairias pramonės šakas, gali būti išnaudojami savavališkai pereinant kelią naudojant CVE-2007-4559 pažeidžiamumą.

Python pažeidžiamumas buvo iš naujo atrastas 2022 m

Šį konkretų Python pažeidžiamumą 2022 m. pradžioje iš naujo atrado Trellix pažeidžiamumo tyrinėtojas Kasimiras Schulzas, nors tai buvo padaryta atsitiktinai tiriant kitą saugumo problemą. Schulzas grąžino CVE-2007-4559 į dėmesio centrą, nors iš pradžių buvo manoma, kad tai visiškai naujas

instagram viewer
nulinė diena trūkumas. Tačiau netrukus buvo išsiaiškinta, kad tai iš tikrųjų buvo ilgalaikis Python trūkumas, aptiktas prieš penkiolika metų.

Trellix greitai paskelbė tviterį, pranešdamas žmonėms apie trūkumą ir jo grėsmę Python pagrįstiems projektams.

Po šio naujo atradimo „Trellix“ sukūrė pataisas daugiau nei 11 000 projektų, tačiau manoma, kad per ateinančias savaites bus pataisyta daug daugiau projektų. „Trellix“ taip pat sukūrė nemokamą įrankį „Creosote“, kurį galima naudoti norint nuskaityti, ar nėra CVE-2007-4559 tarfile pažeidžiamumo.

CVE-2007-4559 Dar reikia išnaudoti

Nors šis Python kalbos trūkumas kelia didelę grėsmę tūkstančiams projektų, atrodo, kad jis dar nebuvo išnaudotas. Tyrėjai tikisi, kad projektai bus pataisyti, kol piktybiniai veikėjai nespės išnaudoti trūkumo, nors tai gali būti padaryta užtrunka šiek tiek laiko, o dėl CVE-2007-4559 naudojimo paprastumo tai gali būti didžiulė tiekimo grandinės problema.

Pažeidžiamumas ir toliau kelia grėsmę asmenims ir organizacijoms

Tyrėjai ir analitikai nuolat atranda saugumo spragas, kibernetiniai nusikaltėliai trokšta jomis pasinaudoti prieš gavę pataisą. Tai ir toliau kels susirūpinimą visose pramonės šakose ir greičiausiai sukels daugiau problemų ateityje. CVE-2007-4559 atveju „Trellix“ nori kuo greičiau pateikti projektams pataisytą kodą, kad piktnaudžiaujantys veikėjai negalėtų piktnaudžiauti šia klaida.