22. September 2022 Ravie Lakshmanan
Es wird angenommen, dass bis zu 350.000 Open-Source-Projekte durch eine Sicherheitslücke in einem Python-Modul, das seit 15 Jahren nicht gepatcht wurde, potenziell anfällig für Angriffe sind.
Die Open-Source-Repositories decken eine Reihe von Branchen ab, z. B. Softwareentwicklung, künstliche Intelligenz/Maschinelles Lernen, Webentwicklung, Medien, Sicherheit und IT-Management.
Der Mangel, der als CVE-2007-4559 (CVSS-Score: 6.8), ist im tarfile-Modul verwurzelt, dessen erfolgreiche Ausnutzung zur Codeausführung durch das Schreiben einer beliebigen Datei führen könnte.
"Die Schwachstelle ist ein Path-Traversal-Angriff in den extract- und extractall-Funktionen des tarfile-Moduls, der es einem Angreifer erlaubt, beliebige Dateien zu überschreiben, indem er die '..'-Sequenz an Dateinamen in einem TAR-Archiv anhängt", erklärt Kasimir Schulz, Sicherheitsforscher bei Trellix. sagte in einem Bericht.
Der ursprünglich im August 2007 veröffentlichte Fehler hat damit zu tun, dass ein speziell präpariertes tar-Archiv dazu genutzt werden kann, beliebige Dateien auf einem Zielrechner zu überschreiben, sobald die Datei geöffnet wird.
Vereinfacht ausgedrückt, kann ein Bedrohungsakteur die Schwachstelle ausnutzen, indem er eine bösartige TAR-Datei so hochlädt, dass er das Verzeichnis, in das eine Datei extrahiert werden soll, umgehen und Code ausführen kann, so dass der Angreifer möglicherweise die Kontrolle über das System übernimmt. Steuerung des Einkaufsmodus eines Zielgeräts.
"Entpacke niemals Archive aus nicht vertrauenswürdigen Quellen ohne vorherige Prüfung", heißt es in der Python-Dokumentation für tarfile liest. "Es ist möglich, dass Dateien außerhalb des Pfades erstellt werden, z.B. Mitglieder, die absolute Dateinamen haben, die mit '/' beginnen oder Dateinamen mit zwei Punkten '..'."
Die Schwachstelle erinnert auch an eine kürzlich bekannt gewordene Sicherheitslücke im UnRAR-Dienstprogramm von RARlab (CVE-2022-30333), die zur entfernten Codeausführung führen können.
Trellix hat außerdem ein eigenes Dienstprogramm namens Kreosot um nach Projekten zu scannen, die für CVE-2007-4559 anfällig sind, und damit die Schwachstelle in der Spyder Python IDE sowie in Polemarch aufzudecken.
