20.3 C
Czech
Úterý 6. června 2023

15 let stará zranitelnost Pythonu potenciálně ovlivňuje více než 350 000 projektů

Zranitelnost v programovacím jazyce Python, která byla 15 let přehlížena, je nyní opět v centru pozornosti. Ovlivňuje více než 350 000 projektů a může vést ke vzdálenému spuštění kódu. Informoval o tom server The Hacker News.

Ovlivněné open source repositáře pokrývají řadu softwarového světa, jako je například umělá inteligence/strojové učení, vývoj webu, vývoj softwaru, bezpečnost a správa IT. Bezpečnostní problém, který byl odhalen v roce 2007, je označen jako CVE-2007-4559 a nikdy nebyl opraven. Jediným zmírněním je upozornění v dokumentaci pro vývojáře.

Zranitelnost je známá přes 15 let

Zranitelnost se nachází v balíčku tarfile v jazyce Python. A to v kódu, který používá nesanitizovanou funkci tarfile.extract() nebo vestavěné výchozí nastavení tarfile.extractall(). Jedná se o chybu procházení cest, která útočníkovi umožňuje přepsat libovolné soubory.

Technické podrobnosti k CVE-2007-4559 jsou k dispozici od prvního nahlášení v srpnu 2007. „Zranitelnost je v podstatě následující: Pokud zabalíte soubor /../../../../../../etc/passwd“ a pak ho správce rozbalí, /etc/passwd se přepíše,“ vysvětlil tehdy Matejek.

Začátkem tohoto roku při zkoumání jiného bezpečnostního problému byl CVE-2007-4559 znovu objeven výzkumníkem společnosti Trellix. „Nenapsání bezpečnostního kódu pro úpravu členských souborů před voláním tarfile.extract() nebo tarfile.extractall() má za následek zranitelnost typu directory traversal, která umožňuje přístup k souborovému systému.“ uvedl Charles McFarland, výzkumník zranitelností v týmu Trellix Advanced Threat Research.

Zjednodušeně řečeno, útočník může tuto slabinu zneužít nahráním škodlivého tar souboru. Ten dokáže uniknout z adresáře, do kterého má být extrahován, a dosáhnout spuštění kódu, což mu umožní potenciálně převzít kontrolu nad cílovým zařízením.

„Nikdy neextrahujte archivy z nedůvěryhodných zdrojů bez předchozí kontroly,“ píše se v dokumentaci jazyka Python k souboru tarfile. „Je možné, že soubory jsou vytvořeny mimo cestu, např. členy, které mají absolutní názvy začínající na ‚/‘ nebo názvy souborů se dvěma tečkami ‚..‘.“

Při analýze dopadu výzkumníci společnosti Trellix zjistili, že zranitelnost se vyskytuje v tisících softwarových projektech. Výzkumníci vybrali sadu 257 repositářů, u nichž je pravděpodobnější, že obsahují zranitelný kód, a ručně zkontrolovali 175 z nich, zda jsou postiženy. Tím zjistili, že 61 % z nich je zranitelných.

Na základě 61% míry zranitelnosti ověřené ručně společnost Trellix se odhaduje, že existuje více než 350 000 zranitelných úložišť. Mnohé z nich využívají nástroje strojového učení (např. GitHub Copilot), které pomáhají vývojářům rychleji dokončit projekt.

Sledujte nás na sítích

Vstupte do impresionistického obrazu ve Francii

Impresionisté získali své jméno podle obrazu Clauda Moneta. Jmenuje se „Impresionismus, východ slunce“ a ukazuje mlhavou scénu Le Havru na pobřeží Normandie. Vydejte se na výlet scenériemi impresionistických obrazů.

Představitelé tisku mají na rukou krev, řekl princ Harry soudu v Londýně

Princ Harry u soudu v Británii během výpovědi proti vydavatelství Mirror Group Newspapers prohlásil, že tisk má na rukou krev. Mladší syn krále Karla III. obviňuje představitele bulvárních titulů MGN z nezákonných aktivit včetně nabourání se do jeho telefonu. Princ je prvním vysoce postaveným představitelem britské královské rodiny na lavici svědků po více než sto letech.

Britská princezna Eugenie přivedla na svět druhého syna. Na sítích sdílela první fotografie

Britská královská rodina má nový přírůstek: miminko princezny Eugenie. Buckinghamský palác v pondělí oznámil, že neteř krále Karla III. minulý týden přivedla na svět chlapečka. S manželem Jackem Brooksbankem má princezna také dvouletého syna Augusta Philipa Hawkea.

Schwarzenegger zavzpomínal na okamžik, kdy manželce řekl, že má dítě s hospodyní: Byla zdrcená

Arnold Schwarzenegger v novém dokumentárním seriálu promluvil o své hollywoodské kariéře, působení ve funkci kalifornského guvernéra i osobních skandálech. V sérii Arnold společnosti Netflix se pětasedmdesátiletý herec zamýšlí také nad okamžikem, kdy se během sezení v manželské poradně Marii Shriver přiznal, že má dítě s jejich hospodyní.

Na serveru YouTube už není zakázané popírat legitimitu amerických voleb

Platforma pro sdílení videí YouTube odvolala pravidlo, které zakazovalo uživatelům šířit nepodložená tvrzení, že prezidentské volby ve Spojených státech poznamenaly rozsáhlé podvody. Opatření zavedla na konci roku 2020 ve světle snahy tehdejšího prezidenta Donalda Trumpa podkopat důvěru ve volby, které prohrál. Proč jej nyní ukončil, server podrobněji nevysvětlil.

NEJNOVĚJŠÍ

Vstupte do impresionistického obrazu ve Francii

Impresionisté získali své jméno podle obrazu Clauda Moneta. Jmenuje se „Impresionismus, východ slunce“ a ukazuje mlhavou scénu Le Havru na pobřeží Normandie. Vydejte se na výlet scenériemi impresionistických obrazů.

Představitelé tisku mají na rukou krev, řekl princ Harry soudu v Londýně

Princ Harry u soudu v Británii během výpovědi proti vydavatelství Mirror Group Newspapers prohlásil, že tisk má na rukou krev. Mladší syn krále Karla III. obviňuje představitele bulvárních titulů MGN z nezákonných aktivit včetně nabourání se do jeho telefonu. Princ je prvním vysoce postaveným představitelem britské královské rodiny na lavici svědků po více než sto letech.

Britská princezna Eugenie přivedla na svět druhého syna. Na sítích sdílela první fotografie

Britská královská rodina má nový přírůstek: miminko princezny Eugenie. Buckinghamský palác v pondělí oznámil, že neteř krále Karla III. minulý týden přivedla na svět chlapečka. S manželem Jackem Brooksbankem má princezna také dvouletého syna Augusta Philipa Hawkea.

Schwarzenegger zavzpomínal na okamžik, kdy manželce řekl, že má dítě s hospodyní: Byla zdrcená

Arnold Schwarzenegger v novém dokumentárním seriálu promluvil o své hollywoodské kariéře, působení ve funkci kalifornského guvernéra i osobních skandálech. V sérii Arnold společnosti Netflix se pětasedmdesátiletý herec zamýšlí také nad okamžikem, kdy se během sezení v manželské poradně Marii Shriver přiznal, že má dítě s jejich hospodyní.

Na serveru YouTube už není zakázané popírat legitimitu amerických voleb

Platforma pro sdílení videí YouTube odvolala pravidlo, které zakazovalo uživatelům šířit nepodložená tvrzení, že prezidentské volby ve Spojených státech poznamenaly rozsáhlé podvody. Opatření zavedla na konci roku 2020 ve světle snahy tehdejšího prezidenta Donalda Trumpa podkopat důvěru ve volby, které prohrál. Proč jej nyní ukončil, server podrobněji nevysvětlil.