10.6 C
Czech
Pondělí 21. dubna 2025

15 let stará zranitelnost Pythonu potenciálně ovlivňuje více než 350 000 projektů

Zranitelnost v programovacím jazyce Python, která byla 15 let přehlížena, je nyní opět v centru pozornosti. Ovlivňuje více než 350 000 projektů a může vést ke vzdálenému spuštění kódu. Informoval o tom server The Hacker News.

Ovlivněné open source repositáře pokrývají řadu softwarového světa, jako je například umělá inteligence/strojové učení, vývoj webu, vývoj softwaru, bezpečnost a správa IT. Bezpečnostní problém, který byl odhalen v roce 2007, je označen jako CVE-2007-4559 a nikdy nebyl opraven. Jediným zmírněním je upozornění v dokumentaci pro vývojáře.

Zranitelnost je známá přes 15 let

Zranitelnost se nachází v balíčku tarfile v jazyce Python. A to v kódu, který používá nesanitizovanou funkci tarfile.extract() nebo vestavěné výchozí nastavení tarfile.extractall(). Jedná se o chybu procházení cest, která útočníkovi umožňuje přepsat libovolné soubory.

Technické podrobnosti k CVE-2007-4559 jsou k dispozici od prvního nahlášení v srpnu 2007. „Zranitelnost je v podstatě následující: Pokud zabalíte soubor /../../../../../../etc/passwd“ a pak ho správce rozbalí, /etc/passwd se přepíše,“ vysvětlil tehdy Matejek.

Začátkem tohoto roku při zkoumání jiného bezpečnostního problému byl CVE-2007-4559 znovu objeven výzkumníkem společnosti Trellix. „Nenapsání bezpečnostního kódu pro úpravu členských souborů před voláním tarfile.extract() nebo tarfile.extractall() má za následek zranitelnost typu directory traversal, která umožňuje přístup k souborovému systému.“ uvedl Charles McFarland, výzkumník zranitelností v týmu Trellix Advanced Threat Research.

Zjednodušeně řečeno, útočník může tuto slabinu zneužít nahráním škodlivého tar souboru. Ten dokáže uniknout z adresáře, do kterého má být extrahován, a dosáhnout spuštění kódu, což mu umožní potenciálně převzít kontrolu nad cílovým zařízením.

„Nikdy neextrahujte archivy z nedůvěryhodných zdrojů bez předchozí kontroly,“ píše se v dokumentaci jazyka Python k souboru tarfile. „Je možné, že soubory jsou vytvořeny mimo cestu, např. členy, které mají absolutní názvy začínající na ‚/‘ nebo názvy souborů se dvěma tečkami ‚..‘.“

Při analýze dopadu výzkumníci společnosti Trellix zjistili, že zranitelnost se vyskytuje v tisících softwarových projektech. Výzkumníci vybrali sadu 257 repositářů, u nichž je pravděpodobnější, že obsahují zranitelný kód, a ručně zkontrolovali 175 z nich, zda jsou postiženy. Tím zjistili, že 61 % z nich je zranitelných.

Na základě 61% míry zranitelnosti ověřené ručně společnost Trellix se odhaduje, že existuje více než 350 000 zranitelných úložišť. Mnohé z nich využívají nástroje strojového učení (např. GitHub Copilot), které pomáhají vývojářům rychleji dokončit projekt.

Sledujte nás na sítích

Velikonoční pondělí: Proč kluci hodují a co se už skoro zapomnělo

Barevné mašle, smích a vůně mazance. Velikonoční pondělí je jarní svátek, který v sobě míchá staré pohanství, křesťanské oslavy i lidové pověry. A hlavně – pořád umí být zábavné. Pokud víte, jak na něj.

Češky sahaly po senzaci, Američankám podlehly o jediný gól

České hokejistky opět ukázaly, že patří mezi světovou špičku. V semifinále domácího mistrovství světa v Českých Budějovicích vzdorovaly favorizovaným Američankám až do posledních minut. Přesto podlehly 1:2 a čeká je nedělní zápas o bronz.

Vědci tvrdí, že objevili novou barvu. Popis nestačí, musí se zažít

Mysleli jste si, že jste už viděli všechny barvy světa? Vědci z Kalifornie vás možná vyvedou z omylu. Tvrdí, že pomocí laseru se jim podařilo navodit vjem úplně nové barvy, kterou běžné světlo nevyvolá. Její jméno zní trochu jako vtip – Olo. Ale ti, co ji zažili, o ní mluví jako o „nepopsatelném zážitku“.

YouTube Music přidává nové funkce pro pohodlnější poslech

YouTube Music testuje dvě nové vychytávky, které mají zlepšit uživatelský zážitek. Uživatelé si nově mohou snadněji označit oblíbené skladby a zároveň si ulevit od nepříjemných výkyvů hlasitosti mezi jednotlivými písněmi. Obě funkce se zavádějí postupně a zatím nejsou dostupné všem.

Cestování bez pasu i palubního lístku? Blíží se revoluce v letecké dopravě

Letecká doprava stojí na prahu digitální revoluce. Papírové palubní vstupenky a klasické odbavení mohou brzy úplně zmizet. Nový systém sází na rozpoznávání obličejů a cestovní doklad uložený v telefonu. Má zjednodušit procesy na letištích a zároveň zvýšit bezpečnost.

DOPORUČUJEME

YouTube Music přidává nové funkce pro pohodlnější poslech

YouTube Music testuje dvě nové vychytávky, které mají zlepšit uživatelský zážitek. Uživatelé si nově mohou snadněji označit oblíbené skladby a zároveň si ulevit od nepříjemných výkyvů hlasitosti mezi jednotlivými písněmi. Obě funkce se zavádějí postupně a zatím nejsou dostupné všem.

Notion spouští vlastního e-mailového klienta s podporou AI

Notion rozšiřuje svou sadu nástrojů o nového e-mailového klienta. Aplikace Notion Mail chce konkurovat zavedeným službám, jako je Gmail, především jednoduchostí, čistým vzhledem a silnou podporou umělé inteligence. Zatím funguje na webu a Macu, verze pro iOS je v procesu vývoje.

iPhone Fold dorazí s Face ID pod displejem a novými rozměry obrazovek

Apple se podle všeho chystá uvést svůj první skládací iPhone už příští rok. Novinka s názvem iPhone Fold má nabídnout nejen ohebné tělo, ale i technologii, na kterou se dlouho čekalo – Face ID zabudované přímo pod displej.

Google ukázal chytré brýle s Androidem XR, které umí překládat i rozpoznávat okolí

Na konferenci TED 2025 představil Google prototyp chytrých brýlí s operačním systémem Android XR. Na veřejnosti je poprvé ukázal přímo šéf vývoje Shahram Izadi, který je měl nasazené během svého vystoupení. Brýle na první pohled vypadají běžně, ale integrují pokročilé AI funkce včetně překladu, rozšířené reality a propojení s dalšími zařízeními.

Motorola představila Edge 60 Fusion s netradičním designem a vlastní AI

Nový smartphone Edge 60 Fusion od Motoroly míří na střední třídu, ale vizuálně i technologicky míří výš. Zaujme neobvyklým povrchem imitujícím plátno, zakřiveným displejem a podporou chytré asistence Moto AI. Výrobce cílí na uživatele, kteří chtějí design, výkon a inteligentní funkce bez přemrštěné ceny.

NEJNOVĚJŠÍ

Velikonoční pondělí: Proč kluci hodují a co se už skoro zapomnělo

Barevné mašle, smích a vůně mazance. Velikonoční pondělí je jarní svátek, který v sobě míchá staré pohanství, křesťanské oslavy i lidové pověry. A hlavně – pořád umí být zábavné. Pokud víte, jak na něj.

Češky sahaly po senzaci, Američankám podlehly o jediný gól

České hokejistky opět ukázaly, že patří mezi světovou špičku. V semifinále domácího mistrovství světa v Českých Budějovicích vzdorovaly favorizovaným Američankám až do posledních minut. Přesto podlehly 1:2 a čeká je nedělní zápas o bronz.

Vědci tvrdí, že objevili novou barvu. Popis nestačí, musí se zažít

Mysleli jste si, že jste už viděli všechny barvy světa? Vědci z Kalifornie vás možná vyvedou z omylu. Tvrdí, že pomocí laseru se jim podařilo navodit vjem úplně nové barvy, kterou běžné světlo nevyvolá. Její jméno zní trochu jako vtip – Olo. Ale ti, co ji zažili, o ní mluví jako o „nepopsatelném zážitku“.

YouTube Music přidává nové funkce pro pohodlnější poslech

YouTube Music testuje dvě nové vychytávky, které mají zlepšit uživatelský zážitek. Uživatelé si nově mohou snadněji označit oblíbené skladby a zároveň si ulevit od nepříjemných výkyvů hlasitosti mezi jednotlivými písněmi. Obě funkce se zavádějí postupně a zatím nejsou dostupné všem.

Cestování bez pasu i palubního lístku? Blíží se revoluce v letecké dopravě

Letecká doprava stojí na prahu digitální revoluce. Papírové palubní vstupenky a klasické odbavení mohou brzy úplně zmizet. Nový systém sází na rozpoznávání obličejů a cestovní doklad uložený v telefonu. Má zjednodušit procesy na letištích a zároveň zvýšit bezpečnost.