Этот древний неисправленный недостаток безопасности Python может сделать уязвимыми проекты

47 руб. 64 руб. Buy It Now

Довольно старая, не исправленная уязвимость безопасности в Python снова всплыла, оставив сотни проектов уязвимыми для выполнения кода.

Исследователи кибербезопасности из компании Trellix обнаружили (открывается в новой вкладке) уязвимость CVE. -2007-4559, уязвимость в пакете tar-файлов Python, обнаруженная еще в 2007 году.

Однако в то время эта уязвимость так и не была устранена, это было просто предупреждение, опубликованное в бюллетене безопасности.

Выявление уязвимых проектов

Уязвимость обнаружена в коде, который использует непроверенную функцию tarfile.extract() или встроенные значения по умолчанию для tarfileextractall(). «Это ошибка типа обхода пути, которая позволяет перезаписывать официальные файлы». — пишет издание.

Исследователи утверждают, что уязвимость дает доступ к системным файлам. Система генерации ошибок Python добавила сообщение о закрытой проблеме, добавив, что «извлечение архивов из ненадежных источников может быть опасным». В компании заявили, что уязвимостью можно воспользоваться как в Windows, так и в Linux.

Пятнадцать лет — большой срок, и, по имеющимся данным, около 350 000 проектов могут оказаться уязвимыми. Исследователи Trellix первоначально отобрали выборку из 257 хранилищ (61%), которые находились в зоне риска. Автоматизированный анализ дал положительные результаты в 65% случаев.

Совместно с GitHub компания Trellix обнаружила 588 840 репозиториев, которые содержали ‘import tarfile’ в собственном коде Python, что охватывает 350 000 (или около 61%) скомпрометированных репозиториев. Неудивительно, что больше всего выделился сектор разработчиков (который открывается в отдельной подборке), за ним следуют веб-технологии и машинное обучение.

Исследователи Trellix создали около 11 000 проектов, доступных в виде открытого репозитория. Эти исправления будут добавлены в основной проект через pull request позже, было добавлено. Еще 70 000 пар должны быть исправлены в течение нескольких недель, но часто требуется время для выявления всех случаев.

Источник

18 Фишек Python о которых мало кто говорит

Все наши Python курсы: https://stepik.org/users/267872376/teach ⭐ Канал с полезным материалом: https://t.me/codeblog8 ...

Tags:

We will be happy to hear your thoughts

Добавить комментарий

Не копируйте текст!
Technik News
Logo
Enable registration in settings - general
Shopping cart
sahabet giriş