Невиправлена 15-річна вразливість Python піддає ризику понад 350 тис. проектів
Близько 350 тис. проектів з відкритим вихідним кодом потенційно уразливі для експлуатації Через помилку в системі безпеки модуля Python, яка залишається невиправленою протягом 15 років
Репозиторії, тобто сховища з відкритим вихідним кодом поширюються на такі сфери, як Розробка ПЗ, штучний інтелект і машинне навчання, веб-розробка, ЗМІ, Кібербезпека , управління інформаційними технологіями та ін уразливість, яку назвали CVE-2007-4559, розташовується в модулі «tarfile». Якщо зловмисник до нього добереться, це призведе до виконання коду із запису довільного файлу, повідомив The Hacker News 22 вересня 2022 року.
Аналітик безпеки компанії Trellix, Казимир Шульц, пояснив, що «вразливість характеризується атакою з обходом шляху в функціях Extract і ExtractAll в модулі tarfile». Це дає можливість потенційному хакеру перезаписувати довільні файли, додаючи послідовність".."до імен файлів в архіві TAR.
Простіше кажучи, зловмисник може використовувати вразливість, завантаживши шкідливий tar-файл так, щоб покинути каталог зі «шпигунським» файлом, Дистанційно виконавши потім код, захоплюючий контроль над пристроєм. Щоб уникнути загрози, не можна витягувати архіви з ненадійних джерел без попередньої перевірки, про що попереджає документація Python для tarfile.
Ця вразливість нагадує нещодавно виявлену помилку в утиліті RARLAB UnRAR, яка може призвести до віддаленого виконання коду. Trellix випустив спеціалізовану утиліту під назвою Creosote для сканування проектів, схильних до вразливості. Вона працює на Spyder Python і Polemarch.
Раніше «WorldBank.org.ua» розповів про те, що північнокорейські хакери Lazarus Group атакують енергетичні компанії по всьому світу.
