Python-koodauskielestä vuonna 2007 löydettyä haavoittuvuutta voidaan käyttää koodin suorittamiseen yli 350 000 projektissa.
Python-virhe on ollut läsnä viisitoista vuotta
Korjaamaton vika Python ohjelmointikieli on nyt vakava uhka sadoille tuhansille projekteille. Haavoittuvuus, joka tunnetaan nimellä CVE-2007-4559, löydettiin viisitoista vuotta sitten, mutta sitä pidettiin vähäriskisenä, joten sitä ei korjattu (vaikka kehittäjille annettiin varoitus virheestä).
CVE-2007-4559-virhe esiintyy Pythonin tarfile-moduulin "extract"- ja "Extractall"-funktioissa. Se on polun läpikulkuvirhe, jonka avulla haitalliset toimijat voivat ylikirjoittaa mielivaltaisia tiedostoja lataamalla haitallisen tartiedoston. Tämä tarfile voidaan sitten suorittaa, jolloin haitallinen toimija voi hallita tiettyä laitetta.
Yli 350 000 avoimen ja suljetun lähdekoodin projektia eri toimialoilla voidaan hyödyntää mielivaltaisen polun läpikäymisellä käyttämällä CVE-2007-4559-haavoittuvuutta.
Python-haavoittuvuus löydettiin uudelleen vuonna 2022
Trellixin haavoittuvuustutkija Kasimir Schulz löysi tämän tietyn Python-haavoittuvuuden uudelleen alkuvuodesta 2022, vaikka se tehtiin vahingossa toista tietoturvaongelmaa tutkiessaan. Schulz toi CVE-2007-4559:n takaisin valokeilaan, vaikka ensin ajateltiin, että se oli täysin uusi. nollapäivä virhe. Mutta pian havaittiin, että tämä oli itse asiassa pitkäaikainen Python-virhe, joka löydettiin viisitoista vuotta sitten.
Trellix teki nopeasti twiitin, joka ilmoitti ihmisille virheestä ja sen uhasta Python-pohjaisille projekteille.
Tämän uudelleen löytämisen jälkeen Trellix loi korjaustiedostoja yli 11 000 projektiin, vaikka useiden projektien uskotaan saavan korjaustiedoston tulevina viikkoina. Trellix on myös luonut ilmaisen työkalun nimeltä Creosote, jonka avulla voidaan etsiä CVE-2007-4559-tarfile-haavoittuvuutta.
CVE-2007-4559 Vielä hyödyntämättä
Vaikka tämä Python-kielivirhe muodostaa merkittävän uhan tuhansille projekteille, sitä ei näytä olevan vielä hyödynnetty. Tutkijat toivovat, että projektit korjataan ennen kuin pahantahtoiset toimijat voivat hyödyntää virhettä, vaikka tämä saattaakin tapahtua kestää jonkin aikaa, ja CVE-2007-4559:n helppokäyttöisyys tekee siitä mahdollisesti valtavan toimitusketjuongelman.
Haavoittuvuudet muodostavat edelleen uhan yksilöille ja organisaatioille
Tutkijat ja analyytikot löytävät jatkuvasti tietoturva-aukkoja, ja kyberrikolliset haluavat käyttää niitä hyväkseen ennen kuin he saavat korjaustiedoston. Tämä on edelleen huolenaihe kaikilla toimialoilla ja aiheuttaa todennäköisesti lisää ongelmia tulevaisuudessa. CVE-2007-4559:n tapauksessa Trellix on innokas tarjoamaan projekteille korjatun koodin mahdollisimman pian, jotta pahantahtoiset toimijat eivät voi käyttää tätä virhettä väärin.
