15 Jahre alte ungepatchte Python-Sicherheitslücke betrifft möglicherweise über 350.000 Projekte

Teilen:

22. September 2022 Ravie Lakshmanan

Es wird angenommen, dass bis zu 350.000 Open-Source-Projekte durch eine Sicherheitslücke in einem Python-Modul, das seit 15 Jahren nicht gepatcht wurde, potenziell anfällig für Angriffe sind.

Die Open-Source-Repositories decken eine Reihe von Branchen ab, z. B. Softwareentwicklung, künstliche Intelligenz/Maschinelles Lernen, Webentwicklung, Medien, Sicherheit und IT-Management.

Der Mangel, der als CVE-2007-4559 (CVSS-Score: 6.8), ist im tarfile-Modul verwurzelt, dessen erfolgreiche Ausnutzung zur Codeausführung durch das Schreiben einer beliebigen Datei führen könnte.

 

"Die Schwachstelle ist ein Path-Traversal-Angriff in den extract- und extractall-Funktionen des tarfile-Moduls, der es einem Angreifer erlaubt, beliebige Dateien zu überschreiben, indem er die '..'-Sequenz an Dateinamen in einem TAR-Archiv anhängt", erklärt Kasimir Schulz, Sicherheitsforscher bei Trellix. sagte in einem Bericht.

Der ursprünglich im August 2007 veröffentlichte Fehler hat damit zu tun, dass ein speziell präpariertes tar-Archiv dazu genutzt werden kann, beliebige Dateien auf einem Zielrechner zu überschreiben, sobald die Datei geöffnet wird.

Vereinfacht ausgedrückt, kann ein Bedrohungsakteur die Schwachstelle ausnutzen, indem er eine bösartige TAR-Datei so hochlädt, dass er das Verzeichnis, in das eine Datei extrahiert werden soll, umgehen und Code ausführen kann, so dass der Angreifer möglicherweise die Kontrolle über das System übernimmt. Steuerung des Einkaufsmodus eines Zielgeräts.

"Entpacke niemals Archive aus nicht vertrauenswürdigen Quellen ohne vorherige Prüfung", heißt es in der Python-Dokumentation für tarfile liest. "Es ist möglich, dass Dateien außerhalb des Pfades erstellt werden, z.B. Mitglieder, die absolute Dateinamen haben, die mit '/' beginnen oder Dateinamen mit zwei Punkten '..'."

 

Die Schwachstelle erinnert auch an eine kürzlich bekannt gewordene Sicherheitslücke im UnRAR-Dienstprogramm von RARlab (CVE-2022-30333), die zur entfernten Codeausführung führen können.

Trellix hat außerdem ein eigenes Dienstprogramm namens Kreosot um nach Projekten zu scannen, die für CVE-2007-4559 anfällig sind, und damit die Schwachstelle in der Spyder Python IDE sowie in Polemarch aufzudecken.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

lade-bild
London, GB
10:44 pm, Juli 10, 2025
Wetter-Symbol 22°C
L: 21° | H: 23°
aufgelockerte Bewölkung
Luftfeuchtigkeit: 69 %
Druck: 1022 mb
Wind: 10 mph E
Windböe: 0 mph
UV-Index: 0
Niederschlag: 0 mm
Wolken: 25%
Regen Chance: 0%
Sichtbarkeit: 10 km
Sonnenaufgang: 4:55 am
Sonnenuntergang: 9:16 pm
TäglichStündlich
Tägliche VorhersageStündliche Vorhersage
Tomorrow 10:00 pm
Wetter-Symbol
21° | 23°°C 0 mm 0% 8 mph 70 % 1022 mb 0 mm/h
Sa. Juli 12 10:00 pm
Wetter-Symbol
19° | 30°°C 0 mm 0% 10 mph 67 % 1019 mb 0 mm/h
So. Juli 13 10:00 pm
Wetter-Symbol
18° | 31°°C 0 mm 0% 7 mph 69 % 1015 mb 0 mm/h
Mo. Juli 14 10:00 pm
Wetter-Symbol
19° | 28°°C 1 mm 100% 17 mph 86 % 1016 mb 0 mm/h
Di. Juli 15 10:00 pm
Wetter-Symbol
15° | 26°°C 0 mm 0% 12 mph 69 % 1022 mb 0 mm/h
Tomorrow 1:00 am
Wetter-Symbol
19° | 21°°C 0 mm 0% 5 mph 67 % 1022 mb 0 mm/h
Tomorrow 4:00 am
Wetter-Symbol
16° | 18°°C 0 mm 0% 3 mph 70 % 1021 mb 0 mm/h
Tomorrow 7:00 am
Wetter-Symbol
20° | 20°°C 0 mm 0% 2 mph 64 % 1021 mb 0 mm/h
Tomorrow 10:00 am
Wetter-Symbol
27° | 27°°C 0 mm 0% 3 mph 45 % 1021 mb 0 mm/h
Tomorrow 1:00 pm
Wetter-Symbol
31° | 31°°C 0 mm 0% 4 mph 31 % 1020 mb 0 mm/h
Tomorrow 4:00 pm
Wetter-Symbol
31° | 31°°C 0 mm 0% 5 mph 26 % 1018 mb 0 mm/h
Tomorrow 7:00 pm
Wetter-Symbol
30° | 30°°C 0 mm 0% 6 mph 29 % 1017 mb 0 mm/h
Tomorrow 10:00 pm
Wetter-Symbol
23° | 23°°C 0 mm 0% 8 mph 49 % 1019 mb 0 mm/h
Name Preis24H (%)
Bitcoin(BTC)
€99,092.75
4.54%
Ethereum(ETH)
€2,479.85
5.78%
Fesseln(USDT)
€0.85
0.02%
XRP(XRP)
€2.17
5.59%
Solana(SOL)
€139.12
3.81%
USDC(USDC)
€0.85
0.00%
Dogecoin(DOGE)
€0.163138
5.46%
Shiba Inu(SHIB)
€0.000011
4.73%
Pepe(PEPE)
€0.000010
8.13%
Nach oben scrollen