Репозитории, т. е. хранилища с открытым исходным кодом распространяются на такие сферы, как разработка ПО, искусственный интеллект и машинное обучение, веб-разработка, СМИ, кибербезопасность, управление информационными технологиями и др. Уязвимость, которую наименовали CVE-2007-4559, располагается в модуле «tarfile». Если злоумышленник до него доберется, это приведет к исполнению кода из записи произвольного файла, сообщил the Hacker News 22 сентября 2022 года.
Аналитик безопасности из компании Trellix, Казимир Шульц, пояснил, что «уязвимость характеризуется атакой с обходом пути в функциях Extract и ExtractAll в модуле tarfile». Это дает возможность потенциальному хакеру перезаписывать произвольные файлы, добавляя последовательность «..» к именам файлов в архиве TAR.
Проще говоря, злоумышленник может использовать уязвимость, загрузив вредоносный tar-файл так, чтобы покинуть каталог со «шпионским» файлом, дистанционно выполнив затем код, захватывающий контроль над устройством. Чтобы избежать угрозы, нельзя извлекать архивы из ненадежных источников без предварительной проверки, о чем предупреждает документация Python для tarfile.
Эта уязвимость напоминает недавно обнаруженную ошибку в утилите RARlab UnRAR, которая может привести к удаленному исполнению кода. Trellix выпустила специализированную утилиту под названием Creosote для сканирования проектов, подверженных уязвимости. Она работает на Spyder Python и Polemarch.
Ранее Интернет-журнал «LinDeal.com» рассказал о том, что северокорейские хакеры Lazarus Group атакуют энергетические компании по всему миру.