Zraniteľnosť objavená v kódovacom jazyku Python v roku 2007 by mohla byť použitá na vykonávanie kódu vo viac ako 350 000 projektoch.
Chyba Pythonu je prítomná už pätnásť rokov
Neopravená chyba v programovací jazyk Python teraz predstavuje vážnu hrozbu pre státisíce projektov. Zraniteľnosť, známa ako CVE-2007-4559, bola objavená pred pätnástimi rokmi, ale považovala sa za nízkorizikovú, a preto nebola opravená (hoci vývojári dostali varovanie o chybe).
Chyba CVE-2007-4559 existuje vo funkciách „extrahovať“ a „extrahovať“ v module tarfile Pythonu. Ide o chybu prechodu cesty, ktorá umožňuje zlomyseľným aktérom prepísať ľubovoľné súbory nahraním škodlivého tarfile. Tento tarfile sa potom môže spustiť, čím sa dá zlomyseľnému aktérovi kontrola nad daným zariadením.
Viac ako 350 000 projektov s otvoreným a uzavretým zdrojovým kódom, ktoré sa rozprestierajú naprieč celým radom odvetví, bolo možné využiť prostredníctvom ľubovoľného prechodu cesty pomocou zraniteľnosti CVE-2007-4559.
Zraniteľnosť Pythonu bola znovu objavená v roku 2022
Táto konkrétna zraniteľnosť Pythonu bola znovuobjavená začiatkom roku 2022 výskumníkom v oblasti zraniteľnosti Trellix Kasimirom Schulzom, hoci sa tak stalo náhodne pri vyšetrovaní iného bezpečnostného problému. Schulz vrátil CVE-2007-4559 späť do centra pozornosti, hoci sa najprv myslelo, že ide o úplne nový nultý deň chyba. Čoskoro sa však zistilo, že toto bola v skutočnosti dlhotrvajúca chyba Pythonu objavená pred pätnástimi rokmi.
Trellix rýchlo urobil tweet, v ktorom upozornil ľudí na chybu a jej hrozbu pre projekty založené na Pythone.
Po tomto opätovnom objavení vytvoril Trellix záplaty pre viac ako 11 000 projektov, hoci sa predpokladá, že v najbližších týždňoch dostane záplatu mnoho ďalších projektov. Trellix tiež vytvoril bezplatný nástroj s názvom Creosote, ktorý možno použiť na skenovanie prítomnosti zraniteľnosti súboru CVE-2007-4559.
CVE-2007-4559 Ešte sa bude využívať
Hoci táto chyba jazyka Python predstavuje významnú hrozbu pre tisíce projektov, zdá sa, že ešte nebola využitá. Výskumníci dúfajú, že projekty budú opravené skôr, ako môžu zlomyseľní herci využiť chybu, aj keď sa to môže stať chvíľu to trvá a jednoduchosť využívania CVE-2007-4559 z neho robí potenciálne veľký problém dodávateľského reťazca.
Zraniteľnosť naďalej predstavuje hrozbu pre jednotlivcov aj organizácie
Výskumníci a analytici neustále objavujú slabé miesta v oblasti bezpečnosti, pričom počítačoví zločinci ich chcú zneužiť skôr, ako dostanú opravu. Toto bude naďalej znepokojovať vo všetkých odvetviach a v budúcnosti to pravdepodobne spôsobí ďalšie problémy. V prípade CVE-2007-4559 chce Trellix poskytnúť projektom opravený kód čo najskôr, aby túto chybu nemohli zneužiť záškodníci.
