据The Hacker News 9月22日报道,Python模块中存在一个长达15年未修复的安全漏洞,可能导致35万余个开源项目被利用,涉及人工智能/机器学习、网络开发、媒体、安全、IT管理等多个领域。
该漏洞被追踪为CVE-2007-4559(CVSS评分:6.8),根植于tarfile模块,可能导致任意文件写入的代码执行。它最初披露于2007年8月,该漏洞利用一个特别制作的tar存档,打开文件后可覆盖目标机器上的任意文件。
“该漏洞是tarfile模块中的extract和extractall函数中的路径遍历攻击,允许攻击者通过在TAR档案中的文件名中添加‘..’序列来覆盖任意文件。”Trellix的安全研究员Kasimir Schulz在一篇文章中说。
简单地说,威胁者可以利用这个弱点上传恶意tarfile,使其有可能逃脱文件被提取到的目录,并实现代码执行,从而使对手有可能夺取对目标设备的控制。
“在没有事先检查的情况下,千万不要从未知来源提取档案,"tarfile 的 Python 文档中写道。“有可能文件是在路径之外创建的,例如,具有以‘/’开头的绝对文件名或以两个点‘..’开头的文件。”
Trellix发布了一个名为Creosote的自定义工具,用于扫描易受CVE-2007-4559影响的项目,用它来发现Spyder Python IDE以及Polemarch的漏洞。研究人员指出:“如果不检查,这个漏洞就会被无意中添加到全球数十万个开源和闭源项目中,从而形成一个实质性的软件供应链攻击面。”
该漏洞让人联想到最近披露的RARlab的UnRAR工具(CVE-2022-30333)的安全漏洞,可能导致远程代码执行。
参考链接:
https://thehackernews.com/2022/09/15-year-old-unpatched-python.html