Zranitelnost objevená v kódovacím jazyce Python v roce 2007 by mohla být použita k provádění kódu ve více než 350 000 projektech.
Chyba Pythonu existuje již patnáct let
Neopravená vada v Programovací jazyk Python nyní představuje vážnou hrozbu pro stovky tisíc projektů. Chyba zabezpečení, známá jako CVE-2007-4559, byla objevena před patnácti lety, ale byla považována za nízkorizikovou, a proto nebyla opravena (ačkoli vývojářům bylo vydáno varování o této chybě).
Chyba CVE-2007-4559 existuje ve funkcích „extract“ a „extractall“ v modulu tarfile Pythonu. Je to chyba procházení cesty, která umožňuje zlomyslným aktérům přepsat libovolné soubory nahráním škodlivého tarfile. Tento soubor tarfile lze poté spustit a poskytnout tak zlomyslnému herci kontrolu nad daným zařízením.
Více než 350 000 projektů s otevřeným a uzavřeným zdrojovým kódem, které pokrývají celou řadu odvětví, by bylo možné využít prostřednictvím libovolného průchodu cesty pomocí zranitelnosti CVE-2007-4559.
Chyba zabezpečení Pythonu byla znovu objevena v roce 2022
Tuto konkrétní zranitelnost Pythonu znovu objevil na začátku roku 2022 výzkumník zranitelnosti Trellix Kasimir Schulz, i když k tomu došlo náhodně při vyšetřování jiného bezpečnostního problému. Schulz vrátil CVE-2007-4559 zpět do centra pozornosti, ačkoli se nejprve myslelo, že jde o zcela nový nultý den vada. Brzy se však zjistilo, že to byla ve skutečnosti dlouhodobá chyba Pythonu objevená před patnácti lety.
Trellix rychle vytvořil tweet, který lidi upozornil na chybu a její hrozbu pro projekty založené na Pythonu.
Po tomto znovuobjevení vytvořil Trellix záplaty pro více než 11 000 projektů, ačkoli se předpokládá, že mnoho dalších projektů obdrží záplatu v nadcházejících týdnech. Trellix také vytvořil bezplatný nástroj nazvaný Creosote, který lze použít ke kontrole přítomnosti zranitelnosti souboru CVE-2007-4559.
CVE-2007-4559 Ještě bude využito
Ačkoli tato chyba jazyka Python představuje významnou hrozbu pro tisíce projektů, zdá se, že dosud nebyla zneužita. Výzkumníci doufají, že projekty budou opraveny dříve, než mohou zlomyslní aktéři využít chyby, i když to tak může být nějakou dobu trvá a snadnost využití CVE-2007-4559 z něj činí potenciálně velký problém dodavatelského řetězce.
Zranitelnosti nadále představují hrozbu pro jednotlivce i organizace
Výzkumníci a analytici neustále odhalují slabá místa zabezpečení a kyberzločinci je chtějí využít dříve, než obdrží opravu. To bude i nadále znepokojovat ve všech průmyslových odvětvích a v budoucnu to pravděpodobně způsobí další problémy. V případě CVE-2007-4559 chce Trellix poskytnout projektům opravený kód co nejdříve, aby tuto chybu nemohli zneužít záškodníci.