19.4 C
Czech
Středa 24. července 2024

15 let stará zranitelnost Pythonu potenciálně ovlivňuje více než 350 000 projektů

Zranitelnost v programovacím jazyce Python, která byla 15 let přehlížena, je nyní opět v centru pozornosti. Ovlivňuje více než 350 000 projektů a může vést ke vzdálenému spuštění kódu. Informoval o tom server The Hacker News.

Ovlivněné open source repositáře pokrývají řadu softwarového světa, jako je například umělá inteligence/strojové učení, vývoj webu, vývoj softwaru, bezpečnost a správa IT. Bezpečnostní problém, který byl odhalen v roce 2007, je označen jako CVE-2007-4559 a nikdy nebyl opraven. Jediným zmírněním je upozornění v dokumentaci pro vývojáře.

Zranitelnost je známá přes 15 let

Zranitelnost se nachází v balíčku tarfile v jazyce Python. A to v kódu, který používá nesanitizovanou funkci tarfile.extract() nebo vestavěné výchozí nastavení tarfile.extractall(). Jedná se o chybu procházení cest, která útočníkovi umožňuje přepsat libovolné soubory.

Technické podrobnosti k CVE-2007-4559 jsou k dispozici od prvního nahlášení v srpnu 2007. „Zranitelnost je v podstatě následující: Pokud zabalíte soubor /../../../../../../etc/passwd“ a pak ho správce rozbalí, /etc/passwd se přepíše,“ vysvětlil tehdy Matejek.

Začátkem tohoto roku při zkoumání jiného bezpečnostního problému byl CVE-2007-4559 znovu objeven výzkumníkem společnosti Trellix. „Nenapsání bezpečnostního kódu pro úpravu členských souborů před voláním tarfile.extract() nebo tarfile.extractall() má za následek zranitelnost typu directory traversal, která umožňuje přístup k souborovému systému.“ uvedl Charles McFarland, výzkumník zranitelností v týmu Trellix Advanced Threat Research.

Zjednodušeně řečeno, útočník může tuto slabinu zneužít nahráním škodlivého tar souboru. Ten dokáže uniknout z adresáře, do kterého má být extrahován, a dosáhnout spuštění kódu, což mu umožní potenciálně převzít kontrolu nad cílovým zařízením.

„Nikdy neextrahujte archivy z nedůvěryhodných zdrojů bez předchozí kontroly,“ píše se v dokumentaci jazyka Python k souboru tarfile. „Je možné, že soubory jsou vytvořeny mimo cestu, např. členy, které mají absolutní názvy začínající na ‚/‘ nebo názvy souborů se dvěma tečkami ‚..‘.“

Při analýze dopadu výzkumníci společnosti Trellix zjistili, že zranitelnost se vyskytuje v tisících softwarových projektech. Výzkumníci vybrali sadu 257 repositářů, u nichž je pravděpodobnější, že obsahují zranitelný kód, a ručně zkontrolovali 175 z nich, zda jsou postiženy. Tím zjistili, že 61 % z nich je zranitelných.

Na základě 61% míry zranitelnosti ověřené ručně společnost Trellix se odhaduje, že existuje více než 350 000 zranitelných úložišť. Mnohé z nich využívají nástroje strojového učení (např. GitHub Copilot), které pomáhají vývojářům rychleji dokončit projekt.

Sledujte nás na sítích

Král Karel III. uděluje královský titul vzácnému plemeni zlaté kozy

Král Karel III. udělil královský titul vzácnému plemeni koz, čímž chce přitáhnout pozornost a uznání k tomuto jedinečnému hospodářskému zvířeti. Informovala o tom agentura AP.

Žraloci u pobřeží Brazílie měli pozitivní testy na kokain

Žraloci u pobřeží Brazílie mají ve svých tělech stopy kokainu. Dopad na jejich chování nebo zdraví není jasný. Tyto paryby s přítomností kokainu v organismu mohou být agresivní.

Eminem ukončil historickou nadvládu Taylor Swift na Billboard 200

Eminem se svým novým albem The Death of Slim Shady (Coup de Grâce) debutuje na prvním místě žebříčku Billboard 200 a sesazuje tak Taylor Swift s albem The Tortured Poets Department, které drželo první příčku po dobu 12 týdnů. Tímto významným posunem končí historická jízda Swift a potvrzuje Eminemovu sílu v hudebním průmyslu.

Netflix vydá dokumentární film k 15. výročí vraždy Steva McNaira

Před 15 lety byl Steve McNair zavražděn. Příští měsíc Netflix představí dokument, který se zaměří na tento zločin. Untold: The Murder of Air McNair bude mít premiéru 20. srpna. Dokument režírovaný Rodney Lucasem a Taylorem Alexanderem Wardem nabídne nový pohled na tragédii kolem bývalého quarterbacka Tennessee Titans a pokusí se zodpovědět otázky, které zůstaly nezodpovězené.

Šokující objev v Tichém oceánu: Kovové hrudky produkují kyslík v naprosté tmě

V temných hlubinách Tichého oceánu objevili vědci kyslík produkovaný nikoliv živými organismy, ale podivnými kovovými hrudkami, které produkují téměř tolik elektřiny jako baterie AA. Tento nečekaný objev může přinést revoluci do našeho chápání vzniku života na Zemi.

DOPORUČUJEME

Telefony Google Pixel nabídnou bezplatnou satelitní komunikaci

Telefony Google Pixel budou nabízet novou službu „Satellite SOS“, která uživatelům umožní připojit se k tísňovým službám v oblastech bez mobilního pokrytí. Původně se hovořilo o tom, že bude k dispozici pouze pro nadcházející řadu Pixel 9, ale nová odhalení naznačují, že tuto funkci mohou získat i starší zařízení, jako jsou Pixel 7 a Pixel 8.

YouTube Music Zavádí Funkci „Sound Search“ na Android a iOS

YouTube Music přichází s dlouho očekávanou funkcí “Sound Search”, která uživatelům umožňuje “přehrát, zazpívat nebo pobrukovat píseň” k jejímu nalezení.

FBI použila nový software Cellebrite k prolomení telefonu Trumpova atentátníka

V rámci vyšetřování střelby na shromáždění bývalého prezidenta Donalda Trumpa obdržela FBI přístup k novému, dosud nevydanému softwaru od izraelské společnosti Cellebrite. Díky této technologii se podařilo odemknout telefon střelce Thomase Matthewa Crookse, což vedlo k odhalení dalších informací o jeho činnosti.

Nintendo v srpnu představí hru Emio – The Smiling Man

Společnost Nintendo nedávno odhalila chystané vydání nové hry s názvem Emio – The Smiling Man. Hra byla původně označována jako horor, ale nakonec se z ní vyklubal nový přírůstek do série Famicom Detective Club. Hra bude uvedena na trh 29. srpna a hráčům znovu představí klasickou záhadu a zápletku s tajemnou vraždou v přepracovaném formátu. Noví i staří fanoušci se nyní mohou těšit na to, že se do tohoto vzrušujícího dobrodružství ponoří na konzoli Nintendo Switch.

Gemini nyní odpovídá na obecné otázky při zamčeném telefonu Android

Google vylepšuje možnosti ovládání svého asistenta Gemini na uzamčené obrazovce Androidu, čímž výrazně zvyšuje komfort uživatelů při získávání informací.

NEJNOVĚJŠÍ

Král Karel III. uděluje královský titul vzácnému plemeni zlaté kozy

Král Karel III. udělil královský titul vzácnému plemeni koz, čímž chce přitáhnout pozornost a uznání k tomuto jedinečnému hospodářskému zvířeti. Informovala o tom agentura AP.

Žraloci u pobřeží Brazílie měli pozitivní testy na kokain

Žraloci u pobřeží Brazílie mají ve svých tělech stopy kokainu. Dopad na jejich chování nebo zdraví není jasný. Tyto paryby s přítomností kokainu v organismu mohou být agresivní.

Eminem ukončil historickou nadvládu Taylor Swift na Billboard 200

Eminem se svým novým albem The Death of Slim Shady (Coup de Grâce) debutuje na prvním místě žebříčku Billboard 200 a sesazuje tak Taylor Swift s albem The Tortured Poets Department, které drželo první příčku po dobu 12 týdnů. Tímto významným posunem končí historická jízda Swift a potvrzuje Eminemovu sílu v hudebním průmyslu.

Netflix vydá dokumentární film k 15. výročí vraždy Steva McNaira

Před 15 lety byl Steve McNair zavražděn. Příští měsíc Netflix představí dokument, který se zaměří na tento zločin. Untold: The Murder of Air McNair bude mít premiéru 20. srpna. Dokument režírovaný Rodney Lucasem a Taylorem Alexanderem Wardem nabídne nový pohled na tragédii kolem bývalého quarterbacka Tennessee Titans a pokusí se zodpovědět otázky, které zůstaly nezodpovězené.

Šokující objev v Tichém oceánu: Kovové hrudky produkují kyslík v naprosté tmě

V temných hlubinách Tichého oceánu objevili vědci kyslík produkovaný nikoliv živými organismy, ale podivnými kovovými hrudkami, které produkují téměř tolik elektřiny jako baterie AA. Tento nečekaný objev může přinést revoluci do našeho chápání vzniku života na Zemi.