这个Python 0day 已存在15年,已影响超过35万个开源项目

最新推荐文章于 2024-03-05 16:46:16 发布
最新推荐文章于 2024-03-05 16:46:16 发布
阅读量593 收藏 1
点赞数
文章标签: 安全 python java github react
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247514063&idx=1&sn=af25c27ad54510e1a26e0be3ee3f9ae0&chksm=ea9486a5dde30fb370f1097da820fadd2dd27b86c0b224d0f788da0c94f8303e42379547afa8&scene=126&&sessionid=0
版权

21b765a88c8ef6019a6e379602a0a6d2.gif 聚焦源代码安全,网罗国内外最新资讯!

5023920bd3038dac117634724950fd88.png

专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。

为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。

注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

973df6d61f2652b7612c9e6270b03358.png

e570f16f6135923f4b66f2aa9e6583a1.gif

396f39a97e4eec86649f5c65fccf4668.gif

超过35万个开源项目被指易被攻击,原因是Python模块中存在一个已有15年历史的未修复漏洞。该Python 仓库用于大量垂直行业中,如软件开发、人工智能/机器学习、web开发、媒体、安全和IT管理行业。

该漏洞是CVE-2007-4559(CVSS评分6.8),位于tarfile模块中。如遭成功利用,该漏洞可导致攻击者通过任意文件写而执行代码。

发现该漏洞的安全研究员 Kasimir Schulz 表示,“该漏洞是位于tarfile模块中extract和extractall 函数中的路径遍历攻击,可导致攻击者通过在TAR文档中的文件名称中增加 ‘..’序列而覆写任意文件。”

该漏洞最初披露于2007年8月,与如何只需打开特殊构造的tar文档,即可在目标机器上覆写任意文件有关。简言之,威胁行动者可上传恶意tarfile利用该漏洞,逃逸文件提取目录并实现代码执行,从而导致攻击者控制目标设备。

Python 的tarfile 指出,“在未经检查之前,从来不要从不受信任的来源中提取文档。文件可能会在路径之外创建如以’/’开头的绝对文件名称或具有两个点’..’的文件名称的成员。”

该漏洞类似于近期披露的位于RARlab 解压缩文件中的漏洞(CVE-2022-30333),后者可导致远程代码执行后果。

Trellix 还发布了自定义工具Creosote 扫描易受CVE-2007-4559影响的项目,帮助发现位于Spyder Python IDE以及Polemarch中是否存在该漏洞。

Douglas McKee 提到,“该漏洞尚未修复,已被无意间添加到全球几十万个开源和闭源项目中,从而可能造成庞大的软件供应链攻击面。”

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

c27627b5fce805e62dc2c87ed1eb09f3.jpeg

推荐阅读

在线阅读版:《2022中国软件供应链安全分析报告》全文

在线阅读版:《2021中国软件供应链安全分析报告》全文

OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节

美国政府发布联邦机构软件安全法规要求,进一步提振IT供应链安全

美国软件供应链安全行动中的科技巨头们

Apache开源项目 Xalan-J 整数截断可导致任意代码执行

谷歌推出开源软件漏洞奖励计划,提振软件供应链安全

黑客攻陷Okta发动供应链攻击,影响130多家组织机构

Linux和谷歌联合推出安全开源奖励计划,最高奖励1万美元或更多

开源web应用中存在三个XSS漏洞,可导致系统遭攻陷

开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞

Juniper Networks修复200多个第三方组件漏洞

美国国土安全部:Log4j 漏洞的影响将持续十年或更久

美国国土安全部:Log4j 漏洞的影响将持续十年或更久

PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点

开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center

奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖

更好的 DevSecOps,更安全的应用

他坦白:只是为了研究才劫持流行库的,你信吗?

热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥

从美行政令看软件供应链安全标准体系的构建

研究员发现针对 GitLab CI 管道的供应链攻击

五眼联盟:管理服务提供商遭受的供应链攻击不断增多

趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击

RubyGems 包管理器中存在严重的 Gems 接管漏洞

美国商务部机构建议这样生成软件供应链 “身份证”

《软件供应商手册:SBOM的生成和提供》解读

和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN

不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环

NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?

NPM逻辑缺陷可用于分发恶意包,触发供应链攻击

攻击者“完全自动化”发动NPM供应链攻击

200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击

哪些NPM仓库更易遭供应链攻击?研究员给出了预测指标

NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击

热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道

速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年

25个恶意JavaScript 库通过NPM官方包仓库分发

Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100

开源网站内容管理系统Micorweber存在XSS漏洞

热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分

开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控

开源工具 PrivateBin 修复XSS 漏洞

奇安信开源组件安全治理解决方案——开源卫士

原文链接

https://thehackernews.com/2022/09/15-year-old-unpatched-python.html

题图:Pexels License

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

4b6735bfd8efe29c7c20f895fd9c2ed4.jpeg

5d93757e248221f27a8c33184fefc311.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   0d4544c0915f34bb103ff35fbb3b2089.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2024Unity 面试题 |五萬字 二佰道| Unity面试题大全,面试题总结【全网最全,收藏一篇足够面试】
努力前行,总会成为自己心中的那道光
02-23 12万+
正所谓 金三银四 ,又到了找工作的大好时机了,不知道大家有没有意向找一份更好的工作呢~ 之前写了很多Unity的学习和实例文章,但是面试题部分还没有一个系统的整理。 那本篇文章就来整理一下Unity中一些常见的面试题,说不准就会面试的时候就会遇到! 本篇文章会将Unity所有方面的面试资料都融会贯通,绝对是2022Unity面试领域最实用的文章啦!
[AI in security]-216 开源威胁情报线索【仅供学习研究使用】
学-> 思->用
08-08 1536
暗网大屏:https://gcokedsa123.grafana.net/dashboard/snapshot/2OJ9OtmtitwiGcIqwIVhvzgmTKDBtTkF?9.深信服安全中心 https://wiki.sec.sangfor.com.cn/index/abroad。微步测绘:https://x.threatbook.com/v5/mapping。火花:https://ti.venuseye.com.cn/#/home。
【操作系统安装与引导】CSM与安全启动对UEFI引导的影响与处理
热门推荐
qq_37424686的博客
04-26 2万+
    本博客主要记录一下主板中的CSM模块以及安全启动对UEFI引导启动的影响,包括如何去启动关闭CSM以及安全启动。首先我们得了解一下他们的概念。    CSM全名Compatibility Support  Module即兼容性支持模块,是UEFI的一个特殊模块,对于不支持UEFI的系统提供兼容性支持。目前Windows8及以上系统完全支持UEFI,Windows7的64位不完全支持UEFI...
研究员在3个微软签名的引导程序中发现UEFI安全引导绕过漏洞
smellycat000的专栏
08-15 381
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近来,针对软件供应链的安全攻击事件一直呈快速增长...
最新系统漏洞--IBM Spectrum Scale任意代码执行漏洞
weixin_48555088的博客
10-20 178
最新系统漏洞202110月15日 受影响系统: IBM Spectrum Scale 5.1.0<= Version <=5.1.0.3 IBM Spectrum Scale 5.0.0<= Version <=5.0.5.6 描述: CVE(CAN) ID: CVE-2021-29740 IBM Spectrum Scale 是一种高性能、高度可用的集群文件系统和关联管理软件。 IBM Spectrum Scale 5.0.0至5.0.5.6版本和5.1.0至5.1.0.3版本的
最新系统漏洞--IBM Security Access Manager Docker弱加密漏洞
weixin_48555088的博客
11-14 935
最新系统漏洞202111月11日 受影响系统: IBM Security Verify Access Docker 10.0.0 描述: IBM Security Access Manager是美国IBM公司的一款应用于信息安全管理的产品。该产品通过面向Web、移动和云计算的集成设备来实现访问管理控制。 IBM Security Access Manager Docker 10.0.0版本存在弱加密漏洞。该漏洞源于程序使用了弱加密算法。攻击者可利用该漏洞解密高度敏感的信息。 建议: 厂商补丁: IBM I
python实现文本审核_百度AI文本审核API使用说明
weixin_39832727的博客
12-11 1582
虽然,虽然,虽然,今天:百度发布了2019第一季度未经审计的财务报告。本季度百度营收241亿元人民币(约合35.9亿美元),同比增长15%,移除业务拆分收入影响,同比增长21%。低于市场预期242.7亿元。净亏损为人民币3.27亿元(约合4900万美元),去同期净利润为人民币66.94亿元。这也是百度上市以来的首个季度亏损。但我还是要肯定百度科技公司要做的工作,尤其是在AI的商业落地方面,做出...
全国计算机等级考试| 二级Python | 真题及解析(11)
惊鸿若梦一书生
01-03 514
全国计算机等级考试| 二级Python | 真题及解析(11)
Python
wenlyq的博客
02-28 1785
Python是如何进行内存管理的? 1.对象的引用计数机制;2.垃圾回收机制;3.内存池 python内部使用引用计数,来保持追踪内存中的对象,Python内部记录了对象有多少个引用,即引用计数,当对象被创建时就创建了一个引用计数,当对象不再需要时,这个对象的引用计数为0时,它被垃圾回收。所有这些都是自动完成 一、对象的引用计数机制 Python内部使用引用计数,来保持追踪内存中的对象,所有对象都...
python学习0day
weixin_30670925的博客
04-09 96
一开始学习python没有什么感觉,也没怎么用到,时间间隔大概有一了开始重新拾起python,话说滋味不太好受,推荐大家学到就常常的练习,不要和小白一样,难受。。。。 推荐一个网站: 菜鸟教程 - 学的不仅是技术,更是梦想!https://www.runoob.com/ 第一天从基础开始吧 # !/usr/bin/env python # -* - coding :utf-8...
联想曝新型UEFI漏洞,影响70款数百万台笔记本电脑
互联网安全研究院
07-18 1059
根据联想的披露,这三个是中等严重级别的漏洞,其中第一个为联想部分笔记本产品使用的ReadyBootDxe驱动的问题,后两个是SystemLoadDefaultDxe驱动的缓冲区溢出漏洞,该驱动被用于Yoga、IdeaPad、Flex、ThinkBook、V14、V15、V130、Slim、S145、S540和S940等70多款电脑型号。5、警惕计算机及数据的异常情况,配置流量监测、权限管控及数据防泄漏系统,在出现敏感数据外泄,或计算机运力突然明显下降等异常情况时,可先进行技术性阻断和告警。...
UEFI Secure Boot
最新发布
qq_40569221的博客
03-05 1503
在计算机世界,安全是一个永恒的话题。微软的Windows的安全性一直深受诟病,但随着操作系统层面的漏洞逐渐减少,黑客们盯上了BIOS固件。那如何保证从开机到进入操作系统这个过程中的安全呢?下图是Intel CPU的整个UEFI安全启动链条,涉及到了Boot Guard、Secure Boot等技术。Microcode验证ACM, ACM验证IBB,IBB验证OBB,而OBB后面就是本文的主题UEFI Secure Boot。UEFI Secure Boot是UEFI规范中所定义的一个功能。
uefi安全启动
qq_46695411的博客
12-01 1730
uefi 安全启动学习笔记
Python学习 0day__基础知识
weixin_30847865的博客
07-08 110
输出print()1 print("Hello Python")注释方法 1.'#' 2.三个单引号开始三个单引号结束。变量+字符串变量命名可以包含数字,大小写字母,下划线等,严格区分大小写,但不能以数字开头,python中以下划线开头的变量一般有特殊含义。  大驼峰:WeLovePython 一般给类命名。  小驼峰:weLovePython 一般给普通函数和函数命名。变量类型 ...
CVE-2018-8174 EXP 0day python
weixin_33779515的博客
05-30 322
usage: CVE-2018-8174.py [-h] -u URL -o OUTPUT [-i IP] [-p PORT] Exploit for CVE-2018-8174 optional arguments: -h, --help show this help message and exit -u URL, --url URL exp url...
Python脚本进阶】2.5、编写自己的0day概念验证代码(终)
07-31 252
Python脚本进阶】0day概念验证代码
ict供应链安全风险管理指南 .pdf_国家标准GB/T 366372018信息安全技术 ICT供应链安全风险管理指南应用推广试点工作启动...
weixin_39814378的博客
11-29 779
201912月27日,全国信息安全标准化技术委员会(以下简称“信安标委”)秘书处在北京组织召开了GB/T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》试点工作启动会。试点工作专家组、技术支撑单位和试点参与单位代表共20余人参加会议。本次国家标准GB/T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》应用推广试点工作选取了一批在软件、硬件和服务领...
NIST 按行政令关于加强软件供应链安全的要求,给出“关键软件”的定义及所含11类软件...
smellycat000的专栏
07-02 517
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值