Python подвергает риску более 350 тыс. проектов

Неисправленная 15-летняя уязвимость Python подвергает риску более 350 тыс. проектов

Порядка 350 тыс. проектов с открытым исходным кодом потенциально уязвимы для эксплуатации из-за ошибки в системе безопасности модуля Python, которая остается неисправленной в течение 15 лет

Автор Вероника Кристер
Редакция linDEAL.
1 год назад

Репозитории, т. е. хранилища с открытым исходным кодом распространяются на такие сферы, как разработка ПО, Искусственный интеллект и машинное обучение, веб-разработка, СМИ, Кибербезопасность, управление информационными технологиями и др. Уязвимость, которую наименовали CVE-2007-4559, располагается в модуле «tarfile». Если злоумышленник до него доберется, это приведет к исполнению кода из записи произвольного файла, сообщил the Hacker News 22 сентября 2022 года.

Аналитик безопасности из компании Trellix, Казимир Шульц, пояснил, что «уязвимость характеризуется атакой с обходом пути в функциях Extract и ExtractAll в модуле tarfile». Это дает возможность потенциальному хакеру перезаписывать произвольные файлы, добавляя последовательность «..» к именам файлов в архиве TAR.

Проще говоря, злоумышленник может использовать уязвимость, загрузив вредоносный tar-файл так, чтобы покинуть каталог со «шпионским» файлом, дистанционно выполнив затем код, захватывающий контроль над устройством. Чтобы избежать угрозы, нельзя извлекать архивы из ненадежных источников без предварительной проверки, о чем предупреждает документация Python для tarfile.

Эта уязвимость напоминает недавно обнаруженную ошибку в утилите RARlab UnRAR, которая может привести к удаленному исполнению кода. Trellix выпустила специализированную утилиту под названием Creosote для сканирования проектов, подверженных уязвимости. Она работает на Spyder Python и Polemarch.

Ранее «LinDeal.com» рассказал о том, что северокорейские хакеры Lazarus Group атакуют энергетические компании по всему миру.

Теги:

280

Комментарии (0)

Комментариев еще нет. Будьте первыми, напишите комментарий.

Написать комментарий

Поделитесь с нами своим мнением об этой статье, напишите ваш комментарий, отзыв, рекомендации или вопросы. Нам очень важно, что вы думаете касательно данного материала!

Автор комментарий

Отзывы и комментарии на linDEAL. проходят модерацию в течение нескольких часов.

Читаете еще на linDEAL.

YouTube: история создания и успеха Ютуб

Полная история создания и развития YouTube. Узнайте подробно в чем секрет успеха Ютуб и как ему удалось стать лидером рынка. Интересные факты, книги и фильмы

Павел Дуров: биография и история успеха Pavel Durov «Создатель ВКонтакте и Telegram»

Полная история и биография Павла Дурова. Узнайте подробно в чем секрет успеха и как ему удалось стать самым известным человеком в мире. Интересные факты, книги и фильмы

Ethereum: история создания и успеха Эфириум

Полная история появления и развития Эфириум. Узнайте подробно в чем секрет успеха Ethereum. Интересные факты, книги и фильмы

Yandex: история создания и успеха Яндекс

Полная история создания и развития Yandex. Узнайте подробно в чем секрет успеха Яндекс и как ей удалось стать лидером рынка. Интересные факты, книги и фильмы

Cisco: история создания и успеха Циско

Полная история появления и развития Циско. Узнайте подробно в чем секрет успеха Cisco. Интересные факты, книги и фильмы

Новости на linDEAL.

Какой сегодня праздник?

Какие праздники отмечают в этот день в вашей стране или в любой другой стране мира ..
Узнать!

Статьи и Тренды на linDEAL.

Подборки лучших книг

ТОП-10 книг, посвященных хакерству
ТОП-10 книг, посвященных хакерству и кибербезопасности

Подборка книг о «черных» и «белых» хакерах расскажет о профессиональных киберпреступниках и специалистах по информационной безопасности и повысит вашу цифровую грамотность

Читайте нас

Не пропускайте важные события и полезные статьи

Еще Новости Хакерство

Зафиксирована рекордная DDoS-атака с 25,3 млрд. запросов посредством мультиплексирования HTTP/2 ..

Сильнейшая атака против неназванной китайской телекоммуникационной компании длилась 4 часа, в рамках которых был достигнут максимум запросов в 3,9 миллиона единиц в секунду еще ..

Масштабная утечка видео геймплея GTA 6 вызвала ажиотаж в интернете ..

Видео «тестового» прохождения демонстрирует героев мужского и женского пола. Однако среди пользователей интернет многие люди скептически относятся к правдивости слитых материалов еще ..

Уязвимость встроенного ПО в корпоративных устройствах HP остается неисправной после ее обнаружения ..

HP приняла меры по устранению недостатков программного обеспечения в марте и августе 2022 года, но не для всех затронутых моделей, что подвергает клиентов риску кибератак еще ..

Северокорейские хакеры Lazarus Group атакуют энергетические компании по всему миру ..

Злоумышленники, связанные с северокорейской хакерской группой Lazarus, организовали кампанию против поставщиков энергии по всему миру, цель которых заключается в получении доступа и краже данных еще ..

Власти Португалии закрыли сайт WT1SHOP по причине продажи украденных учетных данных и банковских карт ..

Веб-сайт продал без малого 6 млн. записей личной информации, в том числе около 25 тыс. отсканированных водительских прав, паспортов и многое другое еще ..

Reuters: Япония расследует возможную причастность российских хакеров Killnet к кибератакам на правительственные сайты ..

Власти Японии сегодня подтвердили, что расследуют возможную причастность российской хакерской группы Killnet к хакерским атакам на сайты министерств еще ..

Новый мошеннический сервис EvilProxy позволяет киберпреступникам обходить двухфакторную защиту ..

Обнаружен новый инструментарий «фишинг как услуга» (PhaaS) под названием EvilProxy. В криминальной среде он рекламируется в качестве средства обхода двухфакторной аутентификации (2FA) еще ..

Обнаружены поддельные антивирусы и приложения для очистки на Android, которые устанавливают банковский троян SharkBot ..

Банковский троян для Android, известный как SharkBot, снова появился в Google Play, маскируясь под антивирусы и чистящие приложения еще ..

Китай обвиняет США в кибератаках на Северо-Западный политехнический университет ..

Неоднократные взломы баз данных исследовательского университета, связанного с китайским правительством, привели к эскалации спора между двумя государствами мировыми лидерами еще ..

Компания Samsung признала утечку конфиденциальных данных клиентов ..

В Samsung обнаружили проблему в конце июля, а сообщили о ней только сейчас. Скольких клиентов затронула утечка, в компании не озвучили еще ..

Загрузка ..