这个Python 0day 已存在15年,已影响超过35万个开源项目 https://mp.weixin.qq.com/s/-00LEYzwa9HFg3Oam7LJqw
这个Python 0day 已存在15年,已影响超过35万个开源项目
聚焦源代码安全,网罗国内外最新资讯!
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
超过35万个开源项目被指易被攻击,原因是Python模块中存在一个已有15年历史的未修复漏洞。该Python 仓库用于大量垂直行业中,如软件开发、人工智能/机器学习、web开发、媒体、安全和IT管理行业。该漏洞是CVE-2007-4559(CVSS评分6.8),位于tarfile模块中。如遭成功利用,该漏洞可导致攻击者通过任意文件写而执行代码。
发现该漏洞的安全研究员 Kasimir Schulz 表示,“该漏洞是位于tarfile模块中extract和extractall 函数中的路径遍历攻击,可导致攻击者通过在TAR文档中的文件名称中增加 ‘..’序列而覆写任意文件。”
该漏洞最初披露于2007年8月,与如何只需打开特殊构造的tar文档,即可在目标机器上覆写任意文件有关。简言之,威胁行动者可上传恶意tarfile利用该漏洞,逃逸文件提取目录并实现代码执行,从而导致攻击者控制目标设备。
Python 的tarfile 指出,“在未经检查之前,从来不要从不受信任的来源中提取文档。文件可能会在路径之外创建如以’/’开头的绝对文件名称或具有两个点’..’的文件名称的成员。”
该漏洞类似于近期披露的位于RARlab 解压缩文件中的漏洞(CVE-2022-30333),后者可导致远程代码执行后果。
Trellix 还发布了自定义工具Creosote 扫描易受CVE-2007-4559影响的项目,帮助发现位于Spyder Python IDE以及Polemarch中是否存在该漏洞。
Douglas McKee 提到,“该漏洞尚未修复,已被无意间添加到全球几十万个开源和闭源项目中,从而可能造成庞大的软件供应链攻击面。”