До 350 тысяч проектов с открытым исходным кодом уязвимы для ошибки Python 15-летней давности

До 350 тысяч проектов с открытым исходным кодом уязвимы для ошибки Python 15-летней давности. Фото: СС0

Уязвимость CVE-2007-4559, представляет собой атаку с обходом пути в функциях Extract и ExtractAll , обнаруженных в модуле tar-файла Python. Исследователи Trellix предупредили, что в случае использования злоумышленник может перезаписать произвольные файлы в архиве TAR.  

Исследователи изначально думали, что обнаружили новую уязвимость нулевого дня, когда столкнулись с уязвимостью. Однако расследование показало, что её обнаружения датируется 2007 годом.  

В то время ошибка считалась маловажной. Однако в Trellix предупредили, что она присутствует в более чем 350 тыс. проектов с открытым исходным кодом и в нераскрытом количестве проектов с закрытым исходным кодом. 

Из сообщения исследователей безопасности:

«Команда Trellix Advanced Research Center обнаружила уязвимость в модуле tarfile Python. После изучения мы поняли, что это CVE-2007-4559 — уязвимость обхода пути 15-летней давности, которая потенциально позволяет злоумышленнику перезаписывать произвольные файлы. CVE-2007-4559 была зарегистрирована в проекте Python в 2007 году и не проверена, она была непреднамеренно добавлена ​​примерно в 350 тыс. проектов с открытым исходным кодом и преобладала в проектах с закрытым исходным кодом». 

Исследователи добавляют, что уязвимость «надежно встроена в цепочку поставок многих проектов» и остается широко распространенной.  

Считается, что ошибка Python присутствовала в фреймворках, созданных Google, Intel и Amazon Web Services (AWS), что подчеркивает как ее долговечность, так и потенциальный критический риск.  

В Trellix говорят, что вместе с GitHub исправили почти 62 тыс. уязвимых проектов с открытым исходным кодом, работа в этом направлении продолжается с помощью инструментов и сопровождающих специалистов Github.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Масштабная операция по мошенничеству с рекламой ликвидирована после заражения миллионов устройств iOS.
• Маршрутизаторы Wi-Fi поражены новой опасной вредоносной программой для Android с дополнительными взломами DNS.
• PayPal подтверждает утечку данных и отправляет пользователям электронные письма с предупреждениями.