存在 15 年未被修补的 Python 漏洞,影响超 35 万个项目


安全公司 Trellix 的研究人员 Kasimir Schulz 发现了一个很容易被开发人员忽略的路径遍历(path traversal)漏洞,使得攻击者能够访问文件系统。经过进一步分析后,他发现这是一个早在 2007 年就已经披露过的 Python tarfile 包中的漏洞 CVE-2007-4559;产生于使用未经处理的 tarfile.extract() 函数或 tarfile.extractall() 的内置默认值的代码中。

该漏洞已有 15 年的历史,自 2007 年 8 月首次报告以来,其相关的技术细节也一直存在可用。但目前却从未收到过任何补丁,唯一提供的缓解措施是警告开发人员有关风险的文档更新。官方 Python 文档明确警告称“切勿在未经事先检查的情况下从不受信任的来源提取档案”。BleepingComputer 指出,虽然没有关于该漏洞被用于攻击的报告,但它仍代表了软件供应链中的一个风险。

Trellix 研究人员指出,该漏洞已存在于成千上万的开源/闭源项目中。他们抓取了一组 257 个更有可能包含易受攻击代码的存储库,并手动检查了其中的 175 个以查看它们是否受到影响。结果表明,其中 61% 的项目存在漏洞;在对其余的存储库进行自动检查后,受影响的项目数量增加到了 65%,表明了问题的普遍存在性。

然而,这个小样本集仅作为估算 GitHub 上所有受影响的存储库的基准。“在 GitHub 的帮助下,我们能够得到一个更大的数据集,包括 588,840 个在其 Python代码中包含'import tarfile'的独特仓库”。

基于手动验证的 61% 的漏洞率,Trellix 估计有超过 35 万个易受攻击的存储库,其中许多被用于帮助开发人员提升效率的机器学习工具(如 GitHub Copilot)使用。这种自动化工具依赖于来自数十万个存储库的代码来提供“auto-complete”选项。如果他们提供不安全的代码,问题就会在开发人员不知情的情况下传播到其他项目。

易受 CVE-2007-4559 攻击的开源代码“跨越了众多行业”。其中,受影响最大的是开发部门,其次是网络和机器学习技术。

Trellix 方面为 11,005 个存储库提供了补丁程序:在受影响的存储库的分支中提供,并可通过拉取请求添加到主项目中由于受影响的存储库数量众多,研究人员预计在接下来的几周内将继续这一修补工作。“预计这将影响所有易受攻击项目的 12.06%,到完成时将超过 7 万个项目。这是一个很大的数字,但绝不是 100%,因为所有的 Pull Request 都必须要被项目维护者接受”。

BleepingComputer 已联系 Python 软件基金会就 CVE-2007-4559 发表评论,但在发布时尚未收到答复。

更多详情可查看完整报告。


相關推薦

2021-12-23

全局(CISA)就命令所有联邦民事机构“必须在圣诞节前修补好与 Log4j 相关的系统”。新加坡网络安全局 (CSA) 也与关键信息基础设施 (CII) 部门针对 Log4j  漏洞举行紧急会议,并发布漏洞的警示公告,密切关注漏洞发展。 同时

2023-10-07

个恶意软件包,是往年总和的 2 倍。八分之一的开源下载存在已知风险,且仍有 23% 的 Log4j 下载存在严重漏洞。 开源项目的主动维护也变得越来越少。研究表明,去年有近五分之一(18.6%)的项目停止维护,影响了 Java 和 JavaS

2021-12-21

12 月 16 日,来自 Maven Central 的 35,863 个可用软件包依赖于存在漏洞的 log4j 代码。这意味着 Maven Central 上超过 8% 的软件包至少有一个版本受漏洞影响(此数字不包括所有 Java 软件包,例如直接分发的二进制文件) 就生态系统影

2023-09-12

故障隔离降低错误成本;安全并发;以及高吞吐量),其存在的问题可以忽略不计。 Vimeo 工程师表示,Vimeo 在 PHP 方面的持续成功证明它对于 2020 年快速发展的公司来说是一个很棒的工具。 我们再分析一下 W3 Techs 的报告,

2022-02-21

来自谷歌安全研究团队 Project Zero 的研究表明,Linux 开发者在修复安全漏洞方面比其他任何人(包括谷歌)都要更加迅速。 从 2019 年到 2021 年,Project Zero 在标准的 90 天期限内共向供应商报告了 376 个问题。这些  bug 中的 351

2021-12-24

为“NotLegit”,并指出这一漏洞自 2017 年 9 月以来就一直存在,很可能已经被利用。 Wiz 于 2021 年 10 月 7 日向微软报告了这个安全漏洞。微软方面在 12 月 7 日至 15 日期间向一些受影响严重的用户发送了警报邮件,目前该漏洞

2023-07-06

4.2.2 更新到 4.2.3。修复 CVE-2023-36053 - ReDoS 漏洞 修补错误配置的 HTTP headers,允许存储的 XSS 执行。修复 CVE-2023-36809 清理 tree_view_html() 函数中的测试计划名称,以减少利用存储的 XSS 漏洞的机会 扩展文件上传验证器

2022-03-31

近日,最受欢迎的开源轻量级 Java 框架 Spring 被曝存在高危的 RCE(远程控制设备) 零日漏洞 ,、外媒 、 等站点对该漏洞进行了报道。 据网上疯传的介绍,该 RCE 漏洞源于 Spring 框架核心的 SerializationUtils#dserialize 方法,该方

2022-08-09

综述 OSCS社区共收录安全漏洞41个,值得关注的是Hadoop 存在shell命令注入漏洞(CVE-2022-35918),MinIO 存在路径遍历漏洞(CVE-2022-35919)和 rsync < 3.2.5 存在路径校验不严漏洞(CVE-2022-29154)。 针对NPM、Python仓库,共监测到 5 次

2023-11-15

数量(带薪水):23K 个 查看具体的 Java 职位。 9-Python Python 是当今最流行的语言之一,也是排名第九的高薪职位。Python 是一种 non-typed 的高级语言。它拥有全方位的实用工具,从脚本和工具到使用 Django 框架编写整个 We

2022-08-16

用户在系统上测试 PostgreSQL 15 的新功能,以帮助消除可能存在的错误或其他问题。虽然不建议在生产环境中运行 PostgreSQL 15 Beta 3,但鼓励找到针对此 Beta 版本运行典型应用程序工作负载的方法。 https://www.postgresql.org/developer/bet

2023-03-21

比增长25.9%;项目制品年产量9PB;推动修复代码Bug和安全漏洞超过350万个,编译加速节省编译总耗时超过50万小时。 内部代码库开源率连续四年超 80% 拥抱开源,紧密参与开源社区建设。《报告》显示,腾讯内部代码仓库开源率

2024-10-28

相比,Ruby 是一种较为小众的语言,但它在就业市场上的存在仍然值得信赖。 8 - GO Go 是谷歌在 12 年前创建的一种年轻语言。谷歌设计 Go 是为了在多核、联网机器和大型代码库时代提高编程效率,Uber、Twitch 等公司都在使用

2021-12-24

用,未启用该模块的Apache HTTP Server不受该漏洞影响。 修补建议 别修了,等死吧