15 let stará zranitelnost Pythonu potenciálně ovlivňuje více než 350 000 projektů

Reklama

Zranitelnost v programovacím jazyce Python, která byla 15 let přehlížena, je nyní opět v centru pozornosti. Ovlivňuje více než 350 000 projektů a může vést ke vzdálenému spuštění kódu. Informoval o tom server The Hacker News.

Ovlivněné open source repositáře pokrývají řadu softwarového světa, jako je například umělá inteligence/strojové učení, vývoj webu, vývoj softwaru, bezpečnost a správa IT. Bezpečnostní problém, který byl odhalen v roce 2007, je označen jako CVE-2007-4559 a nikdy nebyl opraven. Jediným zmírněním je upozornění v dokumentaci pro vývojáře.

Zranitelnost je známá přes 15 let

Zranitelnost se nachází v balíčku tarfile v jazyce Python. A to v kódu, který používá nesanitizovanou funkci tarfile.extract() nebo vestavěné výchozí nastavení tarfile.extractall(). Jedná se o chybu procházení cest, která útočníkovi umožňuje přepsat libovolné soubory.

Technické podrobnosti k CVE-2007-4559 jsou k dispozici od prvního nahlášení v srpnu 2007. „Zranitelnost je v podstatě následující: Pokud zabalíte soubor /../../../../../../etc/passwd“ a pak ho správce rozbalí, /etc/passwd se přepíše,“ vysvětlil tehdy Matejek.

Reklama

Začátkem tohoto roku při zkoumání jiného bezpečnostního problému byl CVE-2007-4559 znovu objeven výzkumníkem společnosti Trellix. „Nenapsání bezpečnostního kódu pro úpravu členských souborů před voláním tarfile.extract() nebo tarfile.extractall() má za následek zranitelnost typu directory traversal, která umožňuje přístup k souborovému systému.“ uvedl Charles McFarland, výzkumník zranitelností v týmu Trellix Advanced Threat Research.

Zjednodušeně řečeno, útočník může tuto slabinu zneužít nahráním škodlivého tar souboru. Ten dokáže uniknout z adresáře, do kterého má být extrahován, a dosáhnout spuštění kódu, což mu umožní potenciálně převzít kontrolu nad cílovým zařízením.

„Nikdy neextrahujte archivy z nedůvěryhodných zdrojů bez předchozí kontroly,“ píše se v dokumentaci jazyka Python k souboru tarfile. „Je možné, že soubory jsou vytvořeny mimo cestu, např. členy, které mají absolutní názvy začínající na ‚/‘ nebo názvy souborů se dvěma tečkami ‚..‘.“

Při analýze dopadu výzkumníci společnosti Trellix zjistili, že zranitelnost se vyskytuje v tisících softwarových projektech. Výzkumníci vybrali sadu 257 repositářů, u nichž je pravděpodobnější, že obsahují zranitelný kód, a ručně zkontrolovali 175 z nich, zda jsou postiženy. Tím zjistili, že 61 % z nich je zranitelných.

Na základě 61% míry zranitelnosti ověřené ručně společnost Trellix se odhaduje, že existuje více než 350 000 zranitelných úložišť. Mnohé z nich využívají nástroje strojového učení (např. GitHub Copilot), které pomáhají vývojářům rychleji dokončit projekt.

ODPOVĚĎ

Zadejte svůj komentář!
Zde prosím zadejte své jméno

Reklama

Nejnovější

Nová studie: Dinosaury nezahubil pouze asteroid, nebezpečí číhalo také pod jejich nohama

Dinosauři vymřeli před 66 miliony let, přesto je příčina jejich konce předmětem neustálých spekulací. S překvapivým zjištěním přišla nová studie. Dinosaury nevyhubil asteroid, pouze k tomu dopomohl.

Klidný přátelák poznamenal rasismus. V hlavních rolích Brazilci, laser a banán

Přípravy na blížící se mistrovství světa v Kataru vrcholí. Evropské týmy během minulých dnů zaneprazdňovala Liga národů, ostatní světové celky odehrály sérii přátelských zápasů. Na francouzské půdě se představila v souboji s Tuniskem jihoamerická Brazílie. Více než fotbal se ale řešilo nepřístojné chování fanoušků.

Ve věku 59 let zemřel rapper Coolio. Proslavil se hitem Gangsta’s Paradise

Americký rapper a herec Coolio, který získal cenu Grammy za hit Gangsta’s Paradise, zemřel ve středu ve věku 59 let. Příčina smrti se vyšetřuje.
Reklama

Musíte číst

Nová studie: Dinosaury nezahubil pouze asteroid, nebezpečí číhalo také pod jejich nohama

Dinosauři vymřeli před 66 miliony let, přesto je příčina jejich konce předmětem neustálých spekulací. S překvapivým zjištěním přišla nová studie. Dinosaury nevyhubil asteroid, pouze k tomu dopomohl.

Klidný přátelák poznamenal rasismus. V hlavních rolích Brazilci, laser a banán

Přípravy na blížící se mistrovství světa v Kataru vrcholí. Evropské týmy během minulých dnů zaneprazdňovala Liga národů, ostatní světové celky odehrály sérii přátelských zápasů. Na francouzské půdě se představila v souboji s Tuniskem jihoamerická Brazílie. Více než fotbal se ale řešilo nepřístojné chování fanoušků.
Reklamaspot_imgspot_img

NejnovějšíTop
Doporučujeme pro vás