До 350 тысяч проектов с открытым исходным кодом уязвимы для ошибки Python 15-летней давности
До 350 тысяч проектов с открытым исходным кодом уязвимы для ошибки Python 15-летней давности. Фото: СС0
Уязвимость CVE-2007-4559, представляет собой атаку с обходом пути в функциях Extract и ExtractAll , обнаруженных в модуле tar-файла Python. Исследователи Trellix предупредили, что в случае использования злоумышленник может перезаписать произвольные файлы в архиве TAR.
Исследователи изначально думали, что обнаружили новую уязвимость нулевого дня, когда столкнулись с уязвимостью. Однако расследование показало, что её обнаружения датируется 2007 годом.
В то время ошибка считалась маловажной. Однако в Trellix предупредили, что она присутствует в более чем 350 тыс. проектов с открытым исходным кодом и в нераскрытом количестве проектов с закрытым исходным кодом.
Из сообщения исследователей безопасности:
«Команда Trellix Advanced Research Center обнаружила уязвимость в модуле tarfile Python. После изучения мы поняли, что это CVE-2007-4559 — уязвимость обхода пути 15-летней давности, которая потенциально позволяет злоумышленнику перезаписывать произвольные файлы. CVE-2007-4559 была зарегистрирована в проекте Python в 2007 году и не проверена, она была непреднамеренно добавлена примерно в 350 тыс. проектов с открытым исходным кодом и преобладала в проектах с закрытым исходным кодом».
Исследователи добавляют, что уязвимость «надежно встроена в цепочку поставок многих проектов» и остается широко распространенной.
Считается, что ошибка Python присутствовала в фреймворках, созданных Google, Intel и Amazon Web Services (AWS), что подчеркивает как ее долговечность, так и потенциальный критический риск.
В Trellix говорят, что вместе с GitHub исправили почти 62 тыс. уязвимых проектов с открытым исходным кодом, работа в этом направлении продолжается с помощью инструментов и сопровождающих специалистов Github.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
- Масштабная операция по мошенничеству с рекламой ликвидирована после заражения миллионов устройств iOS.
- Маршрутизаторы Wi-Fi поражены новой опасной вредоносной программой для Android с дополнительными взломами DNS.
- PayPal подтверждает утечку данных и отправляет пользователям электронные письма с предупреждениями.
Комментариев пока не было