Новини Софт 23.09.2022 о 18:36 comment views icon

Помилка 15-річної давності в Python робить уразливими понад 350 тис. проєктів

author avatar
https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg

Вадим Карпусь

Автор новин

Дослідники Trellix виявили помилку в мові програмування Python, що створює ризик для сотень тисяч програмних проєктів. Виявлена ​​вразливість системи безпеки існувала у Python протягом 15 років.

Наголошується, що вразливість CVE-2007-4559 вперше була виявлена ​​ще 2007 року. Вона знаходиться в модулі tarfile, який використовується програмами Python для читання та запису архівів Tar. З її допомогою зловмисники можуть провести атаку обходу каталогу (path traversal) та перезаписати довільні файли у системі, що може призвести до виконання шкідливого коду. Тоді вразливість не виправили, а лише обмежилися попередженням про ризик в оновленій документації. Задля справедливості слід зазначити, що повідомлень про атаки та загрози безпеці, здатні використовувати CVE-2007-4559, не надходило.

Однак нещодавно компанія Trellix опублікувала нагадування про вразливість. Аналізуючи незв’язану вразливість, дослідники заявили, що натрапили на давню помилку у модулі tarfile.

Обговорюючи проблему в системі відстеження помилок Python, розробники ще раз дійшли висновку, що CVE-2007-4559 не є помилкою: «tarfile.py не робить нічого неправильного», – заявили розробники, і «немає відомих або можливих практичних експлойтів». Офіційна документація Python була оновлена ​​ще раз із попередженням про можливу небезпеку, пов’язану із вилученням архівів з ненадійних джерел.

Дослідники Trellix не погоджуються з таким підходом і наполягають, що CVE-2007-4559 справді є вразливістю системи безпеки. Як доказ вони описали та продемонстрували простий експлойт, що використовує вразливість у середовищі розробки Spyder.

Курс "Web design" від Web-academy.
Швидкий початок кар'єри у сфері IT! Опануйте професію веб-дизайнера — почніть самостійно керувати своїм часом й отримувати високий дохід вже за 9 тижнів.
Дізнатися більше

Trellix також вивчила поширеність CVE-2007-4559, проаналізувавши проєкти як із закритим, так і відкритим вихідним кодом. Спочатку вони виявили рівень уразливості 61% у 257 різних репозиторіях коду, а після автоматичної перевірки та аналізу більшого набору даних із 588840 репозиторіїв цей показник збільшився до 65%.

За оцінками Trellix, уразливості CVE-2007-4559 може бути схильне понад 350 тис. проєктів. Причому багато хто з цих проєктів використовується інструментами машинного навчання, щоб допомогти розробникам швидше завершити проєкт. Дослідники вже створили виправлення для приблизно 11 тис. проєктів і мають намір працювати далі в цьому напрямку.

Джерело: techspot

Триває конкурс авторів ІТС. Напиши статтю про розвиток ігор, геймінг та ігрові девайси та вигравай професійне ігрове кермо Logitech G923 Racing Wheel, або одну з низькопрофільних ігрових клавіатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: