freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Python 15年未修的漏洞可能影响 35万余个项目,速查
2022-09-23 11:43:48
所属地 上海

据The Hacker News 9月22日报道,Python模块中存在一个长达15年未修复的安全漏洞,可能导致35万余个开源项目被利用,涉及人工智能/机器学习、网络开发、媒体、安全、IT管理等多个领域。

该漏洞被追踪为CVE-2007-4559(CVSS评分:6.8),根植于tarfile模块,可能导致任意文件写入的代码执行。它最初披露于2007年8月,该漏洞利用一个特别制作的tar存档,打开文件后可覆盖目标机器上的任意文件。

“该漏洞是tarfile模块中的extract和extractall函数中的路径遍历攻击,允许攻击者通过在TAR档案中的文件名中添加‘..’序列来覆盖任意文件。”Trellix的安全研究员Kasimir Schulz在一篇文章中说。

简单地说,威胁者可以利用这个弱点上传恶意tarfile,使其有可能逃脱文件被提取到的目录,并实现代码执行,从而使对手有可能夺取对目标设备的控制。

“在没有事先检查的情况下,千万不要从未知来源提取档案,"tarfile 的 Python 文档中写道。“有可能文件是在路径之外创建的,例如,具有以‘/’开头的绝对文件名或以两个点‘..’开头的文件。”

Trellix发布了一个名为Creosote的自定义工具,用于扫描易受CVE-2007-4559影响的项目,用它来发现Spyder Python IDE以及Polemarch的漏洞。研究人员指出:“如果不检查,这个漏洞就会被无意中添加到全球数十万个开源和闭源项目中,从而形成一个实质性的软件供应链攻击面。”

该漏洞让人联想到最近披露的RARlab的UnRAR工具(CVE-2022-30333)的安全漏洞,可能导致远程代码执行。

参考链接:

https://thehackernews.com/2022/09/15-year-old-unpatched-python.html

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者