最近,网络安全公司 Trellix 宣告,一个已知的 Python 漏洞将为所有使用 Python tarfile 模块的应用程序带来潜在风险。最初,是一个Trellix 漏洞研究实习生Kasimir Schulz 在调查一个不相关的漏洞时发现了这个问题。
粗略估计,这个15年前就已经被发现但并未被修复的漏洞,将会让35万个开源项目和使用它们的应用程序面临设备接管或恶意代码执行的风险。
为什么会带来如此大的影响?Trellix 解释道,Python tarfile 模块是 Python 安装的默认模块,在 Netflix、AWS、英特尔、Facebook、谷歌创建的框架以及用于机器学习、自动化和 Docker 容器化的应用程序中广泛存在。
Trellix 的首席工程师兼漏洞研究主管 Doug McKee 表示,“15年前在主要软件供应链中未被修补好的漏洞,导致今天数十万件软件易受攻击。如今就像又一次面临 Log4j 事件一样,每个组织都需要确定自己是否、以及如何受到影响。”
值得庆幸的是,Trellix已经发布脚本来协助识别漏洞。用于检查易受攻击应用程序的脚本可在 GitHub 上找到。
该漏洞危险在哪里?
该漏洞 CVE-2007-4559 最初于 2007 年被发现,并被评为6.8 分(满分 10 分)的中等风险。可怕的是,黑客可以利用此漏洞接管设备,一旦被入侵,攻击者就可以执行任意代码或控制设备。
Trellix 漏洞研究实习生Kasimir Schulz 在一篇博客文章中说,“最初,我们以为发现了一个新的零日漏洞,深入研究这个问题时,我们意识到这实际上是 CVE-2007-4559。”
接着在 GitHub 的帮助下,Trellix 研究人员得到了一个更大的数据集,他们在大约 58.8 万个独特的存储库中发现了 287 万个包含 Python tarfile 模块的开源文件,其中的 61% ,也就是35万开源项目容易受到 tarfile 模块的攻击。这是 CVE-2007-4559 的毁灭性力量,因为Python是一种被广泛使用的编程语言。
该漏洞自 2007 年 8 月首次报告以来,其相关的技术细节也一直存在可用,但目前却从未收到过任何补丁,唯一提供的缓解措施是警告开发人员有关风险的文档更新。官方 Python 文档明确警告称 “切勿在未经事先检查的情况下从不受信任的来源提取档案”。
企业如何避免遭受攻击?
受 CVE-2007-4559 漏洞影响最大的是开发部门,其次是网络和机器学习技术。
Trellix 的首席工程师兼漏洞研究主管 Doug McKee 给大家支了个招:一般来说攻击者要利用该漏洞,就需要上传恶意 tar 文件。为了避免被黑客钻空子,开发人员需要检查 tar 文件写入数据的目标目录,以确保数据仅提取到开发人员预期的目录。这些操作有一定作用。
同时,Trellix 也在努力通过 GitHub 拉取请求推送代码,以保护开源项目免受漏洞影响。。不过,目前 Python 软件基金会还未就 CVE-2007-4559 发表评论。
内容来源:
https://www.techrepublic.com/article/open-source-python-vulnerability/
《新程序员001-004》已全面上市,欢迎扫描下方二维码或点击进入立即订阅,即可畅享电子书及精美纸质书!
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
