Неисправленная 15-летняя уязвимость Python подвергает риску более 350 тыс. проектов
Порядка 350 тыс. проектов с открытым исходным кодом потенциально уязвимы для эксплуатации из-за ошибки в системе безопасности модуля Python, которая остается неисправленной в течение 15 лет
Репозитории, т. е. хранилища с открытым исходным кодом распространяются на такие сферы, как разработка ПО, Искусственный интеллект и машинное обучение, веб-разработка, СМИ, Кибербезопасность, управление информационными технологиями и др. Уязвимость, которую наименовали CVE-2007-4559, располагается в модуле «tarfile». Если злоумышленник до него доберется, это приведет к исполнению кода из записи произвольного файла, сообщил the Hacker News 22 сентября 2022 года.
Аналитик безопасности из компании Trellix, Казимир Шульц, пояснил, что «уязвимость характеризуется атакой с обходом пути в функциях Extract и ExtractAll в модуле tarfile». Это дает возможность потенциальному хакеру перезаписывать произвольные файлы, добавляя последовательность «..» к именам файлов в архиве TAR.
Проще говоря, злоумышленник может использовать уязвимость, загрузив вредоносный tar-файл так, чтобы покинуть каталог со «шпионским» файлом, дистанционно выполнив затем код, захватывающий контроль над устройством. Чтобы избежать угрозы, нельзя извлекать архивы из ненадежных источников без предварительной проверки, о чем предупреждает документация Python для tarfile.
Эта уязвимость напоминает недавно обнаруженную ошибку в утилите RARlab UnRAR, которая может привести к удаленному исполнению кода. Trellix выпустила специализированную утилиту под названием Creosote для сканирования проектов, подверженных уязвимости. Она работает на Spyder Python и Polemarch.
Ранее «LinDeal.com» рассказал о том, что северокорейские хакеры Lazarus Group атакуют энергетические компании по всему миру.
Теги:
Комментарии (0)
Комментариев еще нет. Будьте первыми, напишите комментарий.
Написать комментарий
Поделитесь с нами своим мнением об этой статье, напишите ваш комментарий, отзыв, рекомендации или вопросы. Нам очень важно, что вы думаете касательно данного материала!
Читаете еще на linDEAL.
Полная история создания и развития YouTube. Узнайте подробно в чем секрет успеха Ютуб и как ему удалось стать лидером рынка. Интересные факты, книги и фильмы
Полная история и биография Павла Дурова. Узнайте подробно в чем секрет успеха и как ему удалось стать самым известным человеком в мире. Интересные факты, книги и фильмы
Полная история появления и развития Эфириум. Узнайте подробно в чем секрет успеха Ethereum. Интересные факты, книги и фильмы
Полная история создания и развития Yandex. Узнайте подробно в чем секрет успеха Яндекс и как ей удалось стать лидером рынка. Интересные факты, книги и фильмы
Полная история появления и развития Циско. Узнайте подробно в чем секрет успеха Cisco. Интересные факты, книги и фильмы
Новости на linDEAL.
Какой сегодня праздник?
Статьи и Тренды на linDEAL.
Подборки лучших книг
Подборка книг о «черных» и «белых» хакерах расскажет о профессиональных киберпреступниках и специалистах по информационной безопасности и повысит вашу цифровую грамотность