Luka wykryta w języku kodowania Python w 2007 roku może zostać wykorzystana do wykonania kodu w ponad 350 000 projektów.
Wada Pythona jest obecna od piętnastu lat
Niezałatana wada w Język programowania Python stanowi obecnie poważne zagrożenie dla setek tysięcy projektów. Luka, znana jako CVE-2007-4559, została odkryta piętnaście lat temu, ale została uznana za niskie ryzyko i dlatego nie została załatana (chociaż programiści otrzymali ostrzeżenie o tej usterce).
Luka CVE-2007-4559 występuje w funkcjach „extract” i „extractall” w module tarfile Pythona. Jest to błąd związany z przechodzeniem ścieżki, który umożliwia złośliwym podmiotom nadpisywanie dowolnych plików poprzez przesyłanie złośliwego pliku tar. Ten plik tar można następnie uruchomić, dając złośliwemu aktorowi kontrolę nad danym urządzeniem.
Dzięki luce CVE-2007-4559 można wykorzystać ponad 350 000 projektów typu open source i open source obejmujących wiele branż.
Luka w zabezpieczeniach Pythona została ponownie odkryta w 2022 roku
Ta konkretna luka w zabezpieczeniach Pythona została ponownie odkryta na początku 2022 roku przez badacza luk Trellix, Kasimira Schulza, chociaż zostało to zrobione przypadkowo podczas badania innego problemu bezpieczeństwa. Schulz ponownie zwrócił uwagę na CVE-2007-4559, chociaż początkowo sądzono, że jest to całkowicie nowy dzień zerowy wada. Wkrótce jednak odkryto, że w rzeczywistości była to wieloletnia wada Pythona odkryta piętnaście lat wcześniej.
Trellix szybko opublikował tweeta, w którym powiadomił ludzi o błędzie i zagrożeniu dla projektów opartych na Pythonie.
Po tym ponownym odkryciu Trellix stworzył łatki dla ponad 11 000 projektów, choć uważa się, że wiele innych projektów otrzyma łatkę w nadchodzących tygodniach. Trellix stworzył również bezpłatne narzędzie o nazwie Creosote, którego można użyć do skanowania w poszukiwaniu luki w pliku tar CVE-2007-4559.
CVE-2007-4559 jeszcze do wykorzystania
Chociaż ta wada języka Python stanowi poważne zagrożenie dla tysięcy projektów, wydaje się, że nie została jeszcze wykorzystana. Badacze mają nadzieję, że projekty zostaną załatane, zanim złośliwi aktorzy będą mogli wykorzystać lukę, choć może się to zdarzyć zajmuje trochę czasu, a łatwość wykorzystania luki CVE-2007-4559 sprawia, że jest to potencjalnie ogromny problem w łańcuchu dostaw.
Luki w zabezpieczeniach nadal stanowią zagrożenie zarówno dla osób fizycznych, jak i organizacji
Badacze i analitycy nieustannie odkrywają luki w zabezpieczeniach, a cyberprzestępcy chętnie je wykorzystują, zanim otrzymają łatę. Będzie to nadal stanowić problem we wszystkich branżach i prawdopodobnie spowoduje dalsze problemy w przyszłości. W przypadku luki CVE-2007-4559 Trellix chce jak najszybciej dostarczyć projektom naprawiony kod, aby ta luka nie mogła zostać wykorzystana przez złośliwych aktorów.