15 rokov stará neopravená chyba v jazyku Python je hrozbou pre viac ako 350 tisíc projektov

15 rokov stará neopravená chyba v jazyku Python je hrozbou pre viac ako 350 tisíc projektov
Elektrolab Pridal  Elektrolab
  184 zobrazení
1
 0
Počítače a bezpečnosť

Zraniteľnosť bola objavená v programovacom jazyku Python už v roku 2007 a dala sa už vtedy použiť na spúšťanie ľubovoľného kódu vo viac ako 350 000 projektoch.

Chyba v jazyku Python je prítomná už pätnásť rokov

Doposiaľ neopravená chyba v programovacom jazyku Python v súčasnosti predstavuje vážnu hrozbu pre státisíce projektov. Zraniteľnosť, známa ako CVE-2007-4559, bola objavená už pred pätnástimi rokmi, ale považovala sa za málo rizikovú, a preto nebola doposiaľ vôbec opravená hoci bolo vydané varovanie pre vývojárov pred touto chybou.

Chyba CVE-2007-4559 sa vyskytuje vo funkciách extractextractall  v module tarfile jazyka Python. Ide o chybu v prechádzaní ciest, ktorá umožňuje záškodníkom prepísať ľubovoľné súbory nahraním škodlivého tarfile. Tento tarfile sa potom môže spustiť, čím útočník získa kontrolu nad daným zariadením.

Viac ako 350 000 projektov s otvoreným a uzavretým zdrojovým kódom, ktoré sa vzťahujú na rôzne odvetvia, by mohlo byť zneužitých prostredníctvom ľubovoľného prechodu cez cestu pomocou chyby CVE-2007-4559.

Zraniteľnosť Pythonu bola znovu objavená v roku 2022

Túto konkrétnu zraniteľnosť jazyka Python znovu objavil začiatkom roka 2022 výskumník zraniteľností spoločnosti Trellix Kasimir Schulz, hoci sa tak stalo náhodne pri skúmaní iného bezpečnostného problému. Schulz vrátil CVE-2007-4559 do centra pozornosti, hoci sa najprv predpokladalo, že ide o úplne novú chybu nultého dňa. Čoskoro sa však zistilo, že v skutočnosti ide o dlhodobú chybu v jazyku Python, ktorá bola objavená pred pätnástimi rokmi.

Trellix rýchlo zverejnil tweet, v ktorom upozornil na túto chybu a jej hrozbu pre projekty založené na jazyku Python.

Po tomto opätovnom objavení spoločnosť Trellix vytvorila záplaty pre viac ako 11 000 projektov, pričom sa predpokladá, že v najbližších týždňoch dostane záplatu oveľa viac projektov. Spoločnosť Trellix vytvorila aj bezplatný nástroj Creosote, ktorý možno použiť na kontrolu prítomnosti zraniteľnosti CVE-2007-4559 v súboroch tarfile.

CVE-2007-4559 ešte doposiaľ nebola zneužitá - zatiaľ

Hoci táto chyba jazyka Python predstavuje významnú hrozbu pre tisíce projektov, zdá sa, že zatiaľ nebola zneužitá. Výskumníci dúfajú, že projekty budú opravené skôr, ako budú môcť túto chybu zneužiť škodcovia, hoci to môže nejaký čas trvať a jednoduchosť zneužitia CVE-2007-4559 z nej robí potenciálne veľký problém pre dodávateľský reťazec.

Zraniteľnosti naďalej predstavujú hrozbu pre jednotlivcov aj organizácie

Výskumníci a analytici neustále objavujú bezpečnostné zraniteľnosti a kyberzločinci ich chcú zneužiť skôr, ako sa na ne dostane záplata. To bude naďalej predstavovať problém vo všetkých odvetviach a v budúcnosti pravdepodobne spôsobí ďalšie problémy. V prípade CVE-2007-4559 chce spoločnosť Trellix čo najskôr poskytnúť projektom opravený kód, aby túto chybu nemohli zneužiť potencionálny útočníci.

Informácia : Pokiaľ sa vám článok páčil, informácie v ňom boli pre vás užitočné a máte záujem o viac takýchto článkov, podporte drobnou sumou jeho autora. Ďakujeme
Máte aj vy zaujímavú konštrukciu, alebo článok?

Máte aj vy zaujímavú konštrukciu, alebo článok a chceli by ste sa o to podeliť s viac ako 250.000 čitateľmi? Tak neváhajte a dajte nám vedieť, radi ju uverejníme a to vrátane obrazových a video príloh. Rovnako uvítame aj autorov teoretických článkov, či autorov zaujímavých videí z oblasti elektroniky / elektrotechniky.

Kontaktujte nás!


Páčil sa Vám článok? Pridajte k nemu hodnotenie, alebo podporte jeho autora.
 

     

Komentáre k článku

Zatiaľ nebol pridaný žiadny komentár k článku. Pridáte prvý? Berte prosím na vedomie, že za obsah komentára je zodpovedný užívateľ, nie prevádzkovateľ týchto stránok.
Pre komentovanie sa musíte prihlásiť.

Vyhľadajte niečo na našom blogu

PCBWay Promo

JLCPCB Promo
PCBWay Promo

JLCPCB Promo
PCBWay Promo

JLCPCB Promo
Webwiki Button