Неисправленная 15-летняя уязвимость Python подвергает риску более 350 тыс. проектов

Порядка 350 тыс. проектов с открытым исходным кодом потенциально уязвимы для эксплуатации из-за ошибки в системе безопасности модуля Python, которая остается неисправленной в течение 15 лет.

Python подвергает риску более 350 тыс. проектов

Репозитории, т. е. хранилища с открытым исходным кодом распространяются на такие сферы, как разработка ПО, искусственный интеллект и машинное обучение, веб-разработка, СМИ, кибербезопасность, управление информационными технологиями и др. Уязвимость, которую наименовали CVE-2007-4559, располагается в модуле «tarfile». Если злоумышленник до него доберется, это приведет к исполнению кода из записи произвольного файла, сообщил the Hacker News 22 сентября 2022 года.

Аналитик безопасности из компании Trellix, Казимир Шульц, пояснил, что «уязвимость характеризуется атакой с обходом пути в функциях Extract и ExtractAll в модуле tarfile». Это дает возможность потенциальному хакеру перезаписывать произвольные файлы, добавляя последовательность «..» к именам файлов в архиве TAR.

Проще говоря, злоумышленник может использовать уязвимость, загрузив вредоносный tar-файл так, чтобы покинуть каталог со «шпионским» файлом, дистанционно выполнив затем код, захватывающий контроль над устройством. Чтобы избежать угрозы, нельзя извлекать архивы из ненадежных источников без предварительной проверки, о чем предупреждает документация Python для tarfile.

Эта уязвимость напоминает недавно обнаруженную ошибку в утилите RARlab UnRAR, которая может привести к удаленному исполнению кода. Trellix выпустила специализированную утилиту под названием Creosote для сканирования проектов, подверженных уязвимости. Она работает на Spyder Python и Polemarch.

Ранее Интернет-журнал «LinDeal.com» рассказал о том, что северокорейские хакеры Lazarus Group атакуют энергетические компании по всему миру.

Будь в курсе последних новостей мира
Оставайтесь в тренде - подпишитесь на наш канал в Telegram

ПОДПИСЫВАЙТЕСЬ ПРИСОЕДИНЯЙТЕСЬ

Ждем Вас!

Похожие статьи и новости