0.9 C
Czech
Čtvrtek 16. ledna 2025

15 let stará zranitelnost Pythonu potenciálně ovlivňuje více než 350 000 projektů

Zranitelnost v programovacím jazyce Python, která byla 15 let přehlížena, je nyní opět v centru pozornosti. Ovlivňuje více než 350 000 projektů a může vést ke vzdálenému spuštění kódu. Informoval o tom server The Hacker News.

Ovlivněné open source repositáře pokrývají řadu softwarového světa, jako je například umělá inteligence/strojové učení, vývoj webu, vývoj softwaru, bezpečnost a správa IT. Bezpečnostní problém, který byl odhalen v roce 2007, je označen jako CVE-2007-4559 a nikdy nebyl opraven. Jediným zmírněním je upozornění v dokumentaci pro vývojáře.

Zranitelnost je známá přes 15 let

Zranitelnost se nachází v balíčku tarfile v jazyce Python. A to v kódu, který používá nesanitizovanou funkci tarfile.extract() nebo vestavěné výchozí nastavení tarfile.extractall(). Jedná se o chybu procházení cest, která útočníkovi umožňuje přepsat libovolné soubory.

Technické podrobnosti k CVE-2007-4559 jsou k dispozici od prvního nahlášení v srpnu 2007. „Zranitelnost je v podstatě následující: Pokud zabalíte soubor /../../../../../../etc/passwd“ a pak ho správce rozbalí, /etc/passwd se přepíše,“ vysvětlil tehdy Matejek.

Začátkem tohoto roku při zkoumání jiného bezpečnostního problému byl CVE-2007-4559 znovu objeven výzkumníkem společnosti Trellix. „Nenapsání bezpečnostního kódu pro úpravu členských souborů před voláním tarfile.extract() nebo tarfile.extractall() má za následek zranitelnost typu directory traversal, která umožňuje přístup k souborovému systému.“ uvedl Charles McFarland, výzkumník zranitelností v týmu Trellix Advanced Threat Research.

Zjednodušeně řečeno, útočník může tuto slabinu zneužít nahráním škodlivého tar souboru. Ten dokáže uniknout z adresáře, do kterého má být extrahován, a dosáhnout spuštění kódu, což mu umožní potenciálně převzít kontrolu nad cílovým zařízením.

„Nikdy neextrahujte archivy z nedůvěryhodných zdrojů bez předchozí kontroly,“ píše se v dokumentaci jazyka Python k souboru tarfile. „Je možné, že soubory jsou vytvořeny mimo cestu, např. členy, které mají absolutní názvy začínající na ‚/‘ nebo názvy souborů se dvěma tečkami ‚..‘.“

Při analýze dopadu výzkumníci společnosti Trellix zjistili, že zranitelnost se vyskytuje v tisících softwarových projektech. Výzkumníci vybrali sadu 257 repositářů, u nichž je pravděpodobnější, že obsahují zranitelný kód, a ručně zkontrolovali 175 z nich, zda jsou postiženy. Tím zjistili, že 61 % z nich je zranitelných.

Na základě 61% míry zranitelnosti ověřené ručně společnost Trellix se odhaduje, že existuje více než 350 000 zranitelných úložišť. Mnohé z nich využívají nástroje strojového učení (např. GitHub Copilot), které pomáhají vývojářům rychleji dokončit projekt.

Sledujte nás na sítích

Macík blízko vítězství na Dakaru, Šoltyse zastavily technické problémy

Martin Macík pokračuje v dominanci na Rallye Dakar 2025. Český jezdec ovládl již pátou etapu a míří za obhajobou triumfu v kategorii kamionů. V předposledním měřeném úseku na poušti Rub al-Chálí porazil druhého Nizozemce Keese Koolena o pouhých sedm sekund. Do závěrečné etapy si přináší náskok více než dvou hodin na Mitchela van den Brinka.

Nepříjemná změna ve Fortnite ztěžuje plnění questů

Každá aktualizace Fortnite obvykle přináší nové výzvy, které mohou být pro hráče frustrující, ať už kvůli jejich obtížnosti, nebo času potřebnému k jejich dokončení. Bohužel poslední update přinesl změnu, která způsobila, že je náročné dokončit jakoukoliv výzvu. Důvodem je nový design obrazovky questů, který je pro hráče velkým zklamáním.

Dacia Bigster: Na český trh přichází nová hvězda segmentu SUV

Od 15. ledna je možné na českém trhu objednávat dlouho očekávané velké SUV Dacia Bigster. Tento model, který se zaměřuje na segment C-SUV, nabízí pestrý výběr pohonných jednotek, možnost pohonu všech kol, čtyři různé výbavové stupně a velice příznivou cenu.

Francouzka naletěla internetovým podvodníkům. „AI Brad Pitt“ jí připravil o 830 000 eur

Romantický podvod využívající moderní technologie připravil 53letou Francouzku Anne o iluze i veškeré úspory. Hollywoodský herec Brad Pitt se stal předmětem promyšlené manipulace. Anne věřila, že navázala milostný vztah s hercem, jenže šlo o dokonalou lest zneužívající umělou inteligenci. Případ vyvolal bouřlivé reakce, od soucitu až po posměch.

Čínské SUV BYD Atto 2 se dostane i na tuzemský trh 

Čínská automobilka BYD (Build Your Dreams) představila na bruselském autosalonu svůj nový elektrický crossover BYD Atto 2. Tento model slibuje moderní technologie, zajímavý design a inovativní přístup k bateriové zástavbě. Přestože jde o cenově dostupnější model v portfoliu značky, nejedná se o „levné SUV“ v pravém slova smyslu.

DOPORUČUJEME

Samsung Galaxy Ring míří na český trh s novými funkcemi

Samsung Galaxy Ring, chytrý prsten zaměřený na zdraví, dorazí na český a slovenský trh již během ledna nebo začátkem února 2025. Bude k dispozici ve třech barevných variantách – zlatý, stříbrný a černý titan – a v různých velikostech od 5 do 15. Přesná cena zatím není známá, odhaduje se kolem 11 000 Kč.

Nintendo poprvé reaguje na úniky o Switch 2

Společnost Nintendo se poprvé vyjádřila k nedávnému úniku ohledně chystané konzole Switch 2. Fotografie a videa údajných maket konzole i příslušenství se objevily na veletrhu CES 2025. Firma však zdůraznila, že tyto informace nejsou oficiální.

NVIDIA představila Project DIGITS, AI superpočítač pro váš stůl

Společnost NVIDIA na veletrhu CES 2025 odhalila revoluční AI zařízení s názvem Project DIGITS. Tento kompaktní superpočítač nabízí výkon na úrovni jednoho petaFLOPS a umožňuje provozovat pokročilé modely umělé inteligence přímo na pracovním stole.

Nový robotický vysavač s umělou inteligencí zvládne zvednout ponožky i vyfotit vašeho psa

Robotická pomoc v domácnosti opět pokročila. Společnost Roborock představila na veletrhu CES 2025 svou novinku s názvem Saros Z70. Tento model si poradí se zvedáním lehkých předmětů a ještě zvládne zvěčnit vaše zvířecí miláčky. Kromě automatického vysávání se chlubí také chytrým kamerovým systémem, který mu pomáhá s navigací i pořizováním fotografií.

Apple zaplatí 95 milionů dolarů za neoprávněné nahrávání přes Siri

Apple se dohodl na zaplacení 95 milionů dolarů, aby ukončil spor kolem obvinění, že jeho hlasový asistent Siri nahrával uživatele bez jejich vědomí. Spor se táhne od roku 2019, kdy vyšlo najevo, že Siri omylem zachytila soukromé rozhovory, které pak poslouchali externí pracovníci.

NEJNOVĚJŠÍ

Macík blízko vítězství na Dakaru, Šoltyse zastavily technické problémy

Martin Macík pokračuje v dominanci na Rallye Dakar 2025. Český jezdec ovládl již pátou etapu a míří za obhajobou triumfu v kategorii kamionů. V předposledním měřeném úseku na poušti Rub al-Chálí porazil druhého Nizozemce Keese Koolena o pouhých sedm sekund. Do závěrečné etapy si přináší náskok více než dvou hodin na Mitchela van den Brinka.

Nepříjemná změna ve Fortnite ztěžuje plnění questů

Každá aktualizace Fortnite obvykle přináší nové výzvy, které mohou být pro hráče frustrující, ať už kvůli jejich obtížnosti, nebo času potřebnému k jejich dokončení. Bohužel poslední update přinesl změnu, která způsobila, že je náročné dokončit jakoukoliv výzvu. Důvodem je nový design obrazovky questů, který je pro hráče velkým zklamáním.

Dacia Bigster: Na český trh přichází nová hvězda segmentu SUV

Od 15. ledna je možné na českém trhu objednávat dlouho očekávané velké SUV Dacia Bigster. Tento model, který se zaměřuje na segment C-SUV, nabízí pestrý výběr pohonných jednotek, možnost pohonu všech kol, čtyři různé výbavové stupně a velice příznivou cenu.

Francouzka naletěla internetovým podvodníkům. „AI Brad Pitt“ jí připravil o 830 000 eur

Romantický podvod využívající moderní technologie připravil 53letou Francouzku Anne o iluze i veškeré úspory. Hollywoodský herec Brad Pitt se stal předmětem promyšlené manipulace. Anne věřila, že navázala milostný vztah s hercem, jenže šlo o dokonalou lest zneužívající umělou inteligenci. Případ vyvolal bouřlivé reakce, od soucitu až po posměch.

Čínské SUV BYD Atto 2 se dostane i na tuzemský trh 

Čínská automobilka BYD (Build Your Dreams) představila na bruselském autosalonu svůj nový elektrický crossover BYD Atto 2. Tento model slibuje moderní technologie, zajímavý design a inovativní přístup k bateriové zástavbě. Přestože jde o cenově dostupnější model v portfoliu značky, nejedná se o „levné SUV“ v pravém slova smyslu.