2007. gadā Python kodēšanas valodā atklāto ievainojamību var izmantot, lai veiktu koda izpildi vairāk nekā 350 000 projektu.
Python kļūda pastāv jau piecpadsmit gadus
Neaizlabots defekts Python programmēšanas valoda tagad nopietni apdraud simtiem tūkstošu projektu. Ievainojamība, kas pazīstama kā CVE-2007-4559, tika atklāta pirms piecpadsmit gadiem, taču tika uzskatīta par zemu risku, un tāpēc tā netika labota (lai gan izstrādātājiem tika izteikts brīdinājums par trūkumu).
CVE-2007-4559 trūkums pastāv Python tarfile moduļa funkcijās “Extract” un “Extractall”. Tā ir ceļa šķērsošanas kļūda, kas ļauj ļaunprātīgiem dalībniekiem pārrakstīt patvaļīgus failus, augšupielādējot ļaunprātīgu tarfile. Pēc tam šo tarfile var tikt izpildīta, ļaujot ļaunprātīgajam dalībniekam kontrolēt konkrēto ierīci.
Vairāk nekā 350 000 atvērtā un slēgtā pirmkoda projektu, kas aptver dažādas nozares, var tikt izmantoti, patvaļīgi šķērsojot ceļu, izmantojot ievainojamību CVE-2007-4559.
Python ievainojamība tika atkārtoti atklāta 2022. gadā
Šo konkrēto Python ievainojamību 2022. gada sākumā no jauna atklāja Trellix ievainojamības pētnieks Kasimirs Šulcs, lai gan tas tika izdarīts nejauši, izmeklējot citu drošības problēmu. Šulcs atgrieza CVE-2007-4559 uzmanības centrā, lai gan sākotnēji tika uzskatīts, ka tas ir pilnīgi jauns. nulles diena trūkums. Taču drīz vien tika atklāts, ka tas patiesībā ir ilggadējais Python trūkums, kas atklāts pirms piecpadsmit gadiem.
Trellix ātri ievietoja tvītu, informējot cilvēkus par trūkumu un tā draudiem Python balstītiem projektiem.
Pēc šīs atkārtotās atklāšanas Trellix izveidoja ielāpus vairāk nekā 11 000 projektu, lai gan tiek uzskatīts, ka tuvāko nedēļu laikā ielāps tiks saņemts daudziem citiem projektiem. Trellix ir arī izveidojis bezmaksas rīku Creosote, ko var izmantot, lai meklētu CVE-2007-4559 tarfile ievainojamību.
CVE-2007-4559 Vēl tiks izmantots
Lai gan šis Python valodas trūkums rada ievērojamus draudus tūkstošiem projektu, šķiet, ka tas vēl nav izmantots. Pētnieki cer, ka projekti tiks salaboti, pirms ļaunprātīgie dalībnieki varēs izmantot šo trūkumu, lai gan tas var notikt aizņem kādu laiku, un CVE-2007-4559 izmantošanas vienkāršība padara to par potenciāli milzīgu piegādes ķēdes problēmu.
Ievainojamības joprojām rada draudus gan indivīdiem, gan organizācijām
Pētnieki un analītiķi pastāvīgi atklāj drošības ievainojamības, un kibernoziedznieki vēlas tās izmantot, pirms viņi saņem ielāpu. Tas joprojām radīs bažas visās nozarēs un, iespējams, radīs papildu problēmas nākotnē. CVE-2007-4559 gadījumā Trellix vēlas pēc iespējas ātrāk nodrošināt projektus ar salabotu kodu, lai ļaunprātīgi dalībnieki nevarētu ļaunprātīgi izmantot šo trūkumu.