Давний неисправленный недостаток безопасности Python может сделать уязвимыми тысячи проектов

Давний неисправленный недостаток безопасности Python может сделать уязвимыми тысячи проектов. Фото: СС0

Исследователи кибербезопасности из Trellix недавно снова отследили CVE-2007-4559 — уязвимость в пакете tar-файлов Python, впервые обнаруженную в 2007 году. 

Тогда брешь в безопасности так и не была исправлена, дело ограничилось лишь предупреждением, опубликованным в бюллетене по безопасности.

Уязвимость находится в коде, который использует непроверенную функцию tarfile.extract() или встроенные значения по умолчанию tarfileextractall(). 

Из сообщения исследователей:

«Это ошибка обхода пути, позволяющая злоумышленнику перезаписывать произвольные файлы».

Специалисты говорят, что уязвимость дает злоумышленнику доступ к файловой системе. Её можно использовать как в Windows, так и в Linux.

Сообщается, что около 350 тыс. проектов рискуют быть взломанными. Исследователи Trellix сначала взяли выборку из 257 репозиториев (61%), которые были уязвимы. Автоматический анализ дал 65% положительных результатов. 

Затем, совместно с GitHub, исследователи Trellix обнаружили 588 840 уникальных репозиториев, которые включают «import tarfile» в свой код Python, что привело их к выводу, что 350 тыс. (или примерно 61%) могут быть уязвимы. 

Исследователи также обнаружили, что проблема присутствует в «огромном количестве» отраслей. Среди них веб-технологии и технологии машинного обучения. 

Исследователи Trellix выпустили исправления для примерно 11 тыс. проектов, доступных в виде форка затронутого репозитория. Эти патчи будут добавлены в основной проект через запрос. Еще 70 тыс проектов должны быть исправлены в течение пары недель.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия. 

Статьи по теме

• Хакеры могут взломать звонки в Microsoft Teams или Zoom с помощью очков для зрения.
• Microsoft усилит комплекс безопасности Windows 11.
• Хакеры имели доступ к внутренним системам LastPass в течение нескольких дней.
• Весёлые вьетнамские хакеры взломали крупнейшую сеть отелей из озорства.