Давний неисправленный недостаток безопасности Python может сделать уязвимыми тысячи проектов
Давний неисправленный недостаток безопасности Python может сделать уязвимыми тысячи проектов. Фото: СС0
Исследователи кибербезопасности из Trellix недавно снова отследили CVE-2007-4559 — уязвимость в пакете tar-файлов Python, впервые обнаруженную в 2007 году.
Тогда брешь в безопасности так и не была исправлена, дело ограничилось лишь предупреждением, опубликованным в бюллетене по безопасности.
Уязвимость находится в коде, который использует непроверенную функцию tarfile.extract() или встроенные значения по умолчанию tarfileextractall().
Из сообщения исследователей:
«Это ошибка обхода пути, позволяющая злоумышленнику перезаписывать произвольные файлы».
Специалисты говорят, что уязвимость дает злоумышленнику доступ к файловой системе. Её можно использовать как в Windows, так и в Linux.
Сообщается, что около 350 тыс. проектов рискуют быть взломанными. Исследователи Trellix сначала взяли выборку из 257 репозиториев (61%), которые были уязвимы. Автоматический анализ дал 65% положительных результатов.
Затем, совместно с GitHub, исследователи Trellix обнаружили 588 840 уникальных репозиториев, которые включают «import tarfile» в свой код Python, что привело их к выводу, что 350 тыс. (или примерно 61%) могут быть уязвимы.
Исследователи также обнаружили, что проблема присутствует в «огромном количестве» отраслей. Среди них веб-технологии и технологии машинного обучения.
Исследователи Trellix выпустили исправления для примерно 11 тыс. проектов, доступных в виде форка затронутого репозитория. Эти патчи будут добавлены в основной проект через запрос. Еще 70 тыс проектов должны быть исправлены в течение пары недель.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
- Хакеры могут взломать звонки в Microsoft Teams или Zoom с помощью очков для зрения.
- Microsoft усилит комплекс безопасности Windows 11.
- Хакеры имели доступ к внутренним системам LastPass в течение нескольких дней.
- Весёлые вьетнамские хакеры взломали крупнейшую сеть отелей из озорства.
Комментариев пока не было