Eine 2007 in der Programmiersprache Python entdeckte Schwachstelle könnte zur Ausführung von Code in über 350.000 Projekten verwendet werden.
Python Flaw ist seit fünfzehn Jahren präsent
Ein ungepatchter Fehler in der Programmiersprache Python stellt heute eine ernsthafte Bedrohung für Hunderttausende von Projekten dar. Die Schwachstelle, bekannt als CVE-2007-4559, wurde vor fünfzehn Jahren entdeckt, wurde jedoch als geringes Risiko eingestuft und daher nicht gepatcht (obwohl eine Warnung an die Entwickler vor der Schwachstelle ausgegeben wurde).
Der Fehler CVE-2007-4559 existiert in den Funktionen „extract“ und „extractall“ im Tarfile-Modul von Python. Es handelt sich um einen Pfadtraversal-Bug, der es böswilligen Akteuren ermöglicht, beliebige Dateien zu überschreiben, indem sie eine bösartige Tar-Datei hochladen. Dieses Tarfile kann dann ausgeführt werden, wodurch der böswillige Akteur die Kontrolle über ein bestimmtes Gerät erhält.
Über 350.000 Open- und Closed-Source-Projekte, die sich über eine Reihe von Branchen erstrecken, könnten mithilfe der Schwachstelle CVE-2007-4559 über willkürliche Pfaddurchquerung ausgenutzt werden.
Die Python-Schwachstelle wurde 2022 wiederentdeckt
Diese spezielle Python-Schwachstelle wurde Anfang 2022 vom Trellix-Schwachstellenforscher Kasimir Schulz wiederentdeckt, obwohl dies versehentlich während der Untersuchung eines anderen Sicherheitsproblems geschah. Schulz brachte CVE-2007-4559 wieder ins Rampenlicht, obwohl zunächst angenommen wurde, dass es sich um einen völlig neuen handelt Zero-Day Mangel. Aber es stellte sich bald heraus, dass dies tatsächlich der langjährige Python-Fehler war, der vor fünfzehn Jahren entdeckt wurde.
Trellix erstellte schnell einen Tweet, um die Leute über den Fehler und seine Bedrohung für Python-basierte Projekte zu informieren.
Nach dieser Wiederentdeckung hat Trellix Patches für über 11.000 Projekte erstellt, obwohl davon ausgegangen wird, dass viele weitere Projekte in den kommenden Wochen einen Patch erhalten werden. Trellix hat auch ein kostenloses Tool namens Creosote entwickelt, das verwendet werden kann, um nach der Tarfile-Schwachstelle CVE-2007-4559 zu suchen.
CVE-2007-4559 muss noch ausgenutzt werden
Obwohl dieser Python-Sprachfehler eine erhebliche Bedrohung für Tausende von Projekten darstellt, scheint er noch nicht ausgenutzt worden zu sein. Die Forscher hoffen, dass Projekte gepatcht werden, bevor böswillige Akteure den Fehler ausnutzen können, obwohl dies möglicherweise der Fall ist dauert einige Zeit, und die einfache Ausnutzung von CVE-2007-4559 macht es zu einem potenziell großen Problem in der Lieferkette.
Schwachstellen stellen weiterhin eine Bedrohung für Einzelpersonen und Organisationen gleichermaßen dar
Sicherheitslücken werden ständig von Forschern und Analysten entdeckt, und Cyberkriminelle sind bestrebt, sie auszunutzen, bevor sie einen Patch erhalten. Dies wird in allen Branchen weiterhin Anlass zur Sorge geben und in Zukunft wahrscheinlich zu weiteren Problemen führen. Im Fall von CVE-2007-4559 ist Trellix bestrebt, Projekte so schnell wie möglich mit repariertem Code bereitzustellen, damit dieser Fehler nicht von böswilligen Akteuren missbraucht werden kann.