Une vulnérabilité de sécurité Python non corrigée assez ancienne a refait surface, incitant les chercheurs à avertir que des centaines de milliers de projets pourraient être vulnérables à l'exécution de code.

Les chercheurs en cybersécurité de Trellix ont récemment détecté (ouvre un nouvel onglet) CVE-2007-4559, une faille dans le package Python tarfile, découverte pour la première fois en 2007.

Cependant, à l'époque, la faille n'a jamais reçu de correctif, mais plutôt un avertissement publié dans un bulletin de sécurité.

Identifier les projets vulnérables

La vulnérabilité se trouve dans le code qui utilise la fonction tarfile.extract() sans nettoyage ou les valeurs par défaut intégrées de tarfileextractall(). "Il s'agit d'un bogue de traversée de chemin qui permet à un attaquant d'écraser des fichiers arbitraires", écrit le message.

Maintenant, disent les chercheurs, la faille donne à un mauvais acteur l'accès au système de fichiers. Le traqueur de bogues Python a été mis à jour avec l'annonce d'un problème résolu, avec un ajout supplémentaire indiquant qu'"il pourrait être dangereux d'extraire des fichiers à partir de sources non fiables". La faille peut être exploitée à la fois sur Windows et Linux, a-t-on dit.

Quinze ans, c'est long et apparemment quelque 350.000 257 projets pourraient être vulnérables. Les chercheurs de Trellix ont d'abord échantillonné 61 (65%) référentiels vulnérables. Une analyse automatisée a montré un taux positif de XNUMX %.

Ensuite, en utilisant GitHub, les chercheurs de Trellix ont trouvé 588 840 référentiels uniques qui incluent « importer un fichier tar » dans leur code Python, ce qui les a amenés à conclure que 350 000 (soit environ 61 %) pourraient être vulnérables.

Le problème est présent dans un "grand nombre" d'industries, ont en outre découvert les chercheurs. Le secteur du développement (ouvre un nouvel onglet) est, sans surprise, le plus touché, suivi des technologies du web et du machine learning.

Les chercheurs de Trellix ont publié des correctifs pour quelque 11.000 70.000 projets, disponibles sous forme de forks du référentiel concerné. Ces correctifs seront ajoutés au projet principal via une demande d'extraction à une date ultérieure, ajoutée. XNUMX XNUMX autres projets devraient recevoir leurs correctifs d'ici quelques semaines, mais tous les corriger prendra du temps.

Share