15 Jahre alte ungepatchte Python-Sicherheitslücke betrifft möglicherweise über 350.000 Projekte

22. September 2022 Ravie Lakshmanan

Es wird angenommen, dass bis zu 350.000 Open-Source-Projekte durch eine Sicherheitslücke in einem Python-Modul, das seit 15 Jahren nicht gepatcht wurde, potenziell anfällig für Angriffe sind.

Die Open-Source-Repositories decken eine Reihe von Branchen ab, z. B. Softwareentwicklung, künstliche Intelligenz/Maschinelles Lernen, Webentwicklung, Medien, Sicherheit und IT-Management.

Der Mangel, der als CVE-2007-4559 (CVSS-Score: 6.8), ist im tarfile-Modul verwurzelt, dessen erfolgreiche Ausnutzung zur Codeausführung durch das Schreiben einer beliebigen Datei führen könnte.

"Die Schwachstelle ist ein Path-Traversal-Angriff in den extract- und extractall-Funktionen des tarfile-Moduls, der es einem Angreifer erlaubt, beliebige Dateien zu überschreiben, indem er die '..'-Sequenz an Dateinamen in einem TAR-Archiv anhängt", erklärt Kasimir Schulz, Sicherheitsforscher bei Trellix. sagte in einem Bericht.

Der ursprünglich im August 2007 veröffentlichte Fehler hat damit zu tun, dass ein speziell präpariertes tar-Archiv dazu genutzt werden kann, beliebige Dateien auf einem Zielrechner zu überschreiben, sobald die Datei geöffnet wird.

Vereinfacht ausgedrückt, kann ein Bedrohungsakteur die Schwachstelle ausnutzen, indem er eine bösartige TAR-Datei so hochlädt, dass er das Verzeichnis, in das eine Datei extrahiert werden soll, umgehen und Code ausführen kann, so dass der Angreifer möglicherweise die Kontrolle über das System übernimmt. Steuerung des Einkaufsmodus eines Zielgeräts.

"Entpacke niemals Archive aus nicht vertrauenswürdigen Quellen ohne vorherige Prüfung", heißt es in der Python-Dokumentation für tarfile liest. "Es ist möglich, dass Dateien außerhalb des Pfades erstellt werden, z.B. Mitglieder, die absolute Dateinamen haben, die mit '/' beginnen oder Dateinamen mit zwei Punkten '..'."

Die Schwachstelle erinnert auch an eine kürzlich bekannt gewordene Sicherheitslücke im UnRAR-Dienstprogramm von RARlab (CVE-2022-30333), die zur entfernten Codeausführung führen können.

Trellix hat außerdem ein eigenes Dienstprogramm namens Kreosot um nach Projekten zu scannen, die für CVE-2007-4559 anfällig sind, und damit die Schwachstelle in der Spyder Python IDE sowie in Polemarch aufzudecken.

Kommentar verfassen Kommentieren abbrechen

London, GB

8:03 am, Feb. 4, 2025

8°C

L: 7° | H: 8°

Fühlt sich an wie 6°C° overcast clouds

Luftfeuchtigkeit: 89 %

Druck: 1022 mb

Wind: 6 mph SW

Windböe: 13 mph

UV-Index: 0

Niederschlag: 0 mm

Wolken: 100%

Regen Chance: 0%

Sichtbarkeit: 10 km

Sonnenaufgang: 7:34 am

Sonnenuntergang: 4:54 pm

TäglichStündlich

Tägliche VorhersageStündliche Vorhersage

Today 9:00 pm

7° | 8°°C 0.23 mm 23% 15 mph 89 % 1027 mb 0 mm/h

Tomorrow 9:00 pm

4° | 9°°C 0 mm 0% 8 mph 86 % 1044 mb 0 mm/h

Do. Feb. 06 9:00 pm

3° | 8°°C 0 mm 0% 10 mph 89 % 1046 mb 0 mm/h

Fr. Feb. 07 9:00 pm

3° | 6°°C 0 mm 0% 14 mph 89 % 1039 mb 0 mm/h

Sa. Feb. 08 9:00 pm

2° | 5°°C 0.2 mm 20% 10 mph 91 % 1030 mb 0.14 mm/h

Today 9:00 am

7° | 8°°C 0 mm 0% 10 mph 89 % 1022 mb 0 mm/h

Today 12:00 pm

8° | 8°°C 0 mm 0% 12 mph 87 % 1022 mb 0 mm/h

Today 3:00 pm

9° | 10°°C 0 mm 0% 15 mph 77 % 1021 mb 0 mm/h

Today 6:00 pm

9° | 9°°C 0.2 mm 20% 12 mph 88 % 1022 mb 0 mm/h

Today 9:00 pm

8° | 8°°C 0.23 mm 23% 8 mph 74 % 1027 mb 0 mm/h

Tomorrow 12:00 am

6° | 6°°C 0 mm 0% 8 mph 81 % 1030 mb 0 mm/h

Tomorrow 3:00 am

5° | 5°°C 0 mm 0% 8 mph 84 % 1033 mb 0 mm/h

Tomorrow 6:00 am

4° | 4°°C 0 mm 0% 5 mph 86 % 1036 mb 0 mm/h

Name	Preis	24H (%)
Bitcoin(BTC)	€95,232.69	3.22%
Ethereum(ETH)	€2,609.43	3.09%
XRP(XRP)	€2.41	2.09%
Fesseln(USDT)	€0.97	0.00%
Solana(SOL)	€198.00	2.68%
USDC(USDC)	€0.97	-0.01%
Dogecoin(DOGE)	€0.250934	1.66%
Shiba Inu(SHIB)	€0.000015	4.51%
Pepe(PEPE)	€0.000010	-0.42%

15 Jahre alte ungepatchte Python-Sicherheitslücke betrifft möglicherweise über 350.000 Projekte

Teilen:

Kommentar verfassen Kommentieren abbrechen

Verbindung zum Dienstprogramm

Nützlicher Link

Newsletter

Folgen Sie uns