Под ударом оказались более 350 000 проектов с открытым исходным кодом

https://www.techworm.net/

Неисправленная уязвимость в языке программирования Python теперь представляет серьезную угрозу для сотен тысяч проектов. Уязвимость, известная как CVE-2007-4559, была обнаружена пятнадцать лет назад, но считалась малоопасной, поэтому и не была исправлена ​​(хотя разработчикам выдали предупреждение об уязвимости).

Уязвимость CVE-2007-4559 существует в функциях «extract» и «extractall» в модуле tarfile Python. Это ошибка обхода пути, которая позволяет злоумышленникам перезаписывать произвольные файлы, загружая вредоносный tar-файл. Затем этот tar-файл можно запустить, предоставив злоумышленнику контроль над данным устройством.

Компания Trellix, специалисты которой и обнаружили уязвимость, создала свой инструмент под названием Creosote, помогающий искать CVE-2007-4559. Именно с его помощью исследователи обнаружили уязвимость в Spyder Python IDE и Polemarch. Кроме того, эксперты Trellix уже подготовили исправления более чем для 11 000 проектов. Исследователи ожидают, что более 70 000 репозиториев получат исправления в ближайшие несколько недель.

Источник

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *