A Python kódolási nyelvben 2007-ben felfedezett sebezhetőség több mint 350 000 projektben használható kódfuttatásra.
A Python hiba tizenöt éve jelen van
Kijavítatlan hiba a Python programozási nyelv ma már komoly veszélyt jelent több százezer projektre. A CVE-2007-4559 néven ismert sebezhetőséget tizenöt évvel ezelőtt fedezték fel, de alacsony kockázatúnak számított, ezért nem javították ki (bár a fejlesztők figyelmeztetést kaptak a hibáról).
A CVE-2007-4559 hiba a Python tarfile moduljának „extract” és „extractall” függvényében található. Ez egy útvonal bejárási hiba, amely lehetővé teszi a rosszindulatú szereplők számára, hogy tetszőleges fájlokat felülírjanak egy rosszindulatú tarfile feltöltésével. Ez a tarfile ezután végrehajtható, így a rosszindulatú szereplő irányíthatja az adott eszközt.
A CVE-2007-4559 biztonsági rést használó tetszőleges útvonal-bejárással több mint 350 000 nyílt és zárt forráskódú projektet lehet kihasználni, amelyek számos iparágra kiterjednek.
A Python sebezhetőségét 2022-ben fedezték fel újra
Ezt a konkrét Python-sebezhetőséget 2022 elején fedezte fel a Trellix sebezhetőségi kutatója, Kasimir Schulz, bár ez véletlenül történt egy másik biztonsági probléma vizsgálata során. Schulz ismét reflektorfénybe hozta a CVE-2007-4559-et, bár először azt hitték, hogy ez egy teljesen új nulladik nap hiba. De hamarosan kiderült, hogy ez valójában a Python régóta fennálló hibája, amelyet tizenöt évvel ezelőtt fedeztek fel.
A Trellix gyorsan tett egy tweetet, amelyben értesítette az embereket a hibáról és annak veszélyéről a Python-alapú projektekre.
Az újrafelfedezés után a Trellix több mint 11 000 projekthez készített javításokat, bár az elkövetkező hetekben még sok projekt kap majd javítást. A Trellix egy ingyenes eszközt is készített Creosote néven, amely a CVE-2007-4559 tarfile biztonsági résének keresésére használható.
CVE-2007-4559 Még ki kell használni
Bár ez a Python nyelvi hiba jelentős veszélyt jelent több ezer projektre, úgy tűnik, hogy még nem használták ki. A kutatók azt remélik, hogy a projekteket még azelőtt kijavítják, mielőtt a rosszindulatú szereplők kihasználhatnák a hibát, bár ez lehet eltart egy ideig, és a CVE-2007-4559 könnyű kihasználása potenciálisan hatalmas ellátási lánc problémát jelent.
A sérülékenységek továbbra is fenyegetést jelentenek egyénekre és szervezetekre egyaránt
Kutatók és elemzők folyamatosan fedezik fel a biztonsági réseket, és a kiberbűnözők szívesen kihasználják azokat, mielőtt javítást kapnának. Ez továbbra is aggodalomra ad okot minden iparágban, és valószínűleg további problémákat fog okozni a jövőben. A CVE-2007-4559 esetében a Trellix szívesen látja a projekteket a lehető leghamarabb javított kóddal, hogy ezzel a hibával ne tudjanak visszaélni a rosszindulatú szereplők.
