Ошибка 15-летней давности в Python делает уязвимыми более 350 тыс. проектов
Исследователи Trellix обнаружили ошибку в языке программирования Python, которая создаёт риск для сотен тысяч программных проектов. Выявленная уязвимость системы безопасности существовала в Python в течение 15 лет.
Помогаем
На истребитель для ВСУ уже собрали более 16 млн гривен — спасибо читателям, которые пожертвовали 7 млн гривен
Отмечается, что уязвимость CVE-2007-4559 впервые была обнаружена ещё в 2007 году. Она находится в модуле tarfile, который используется программами Python для чтения и записи архивов Tar. С её помощью злоумышленники могут провести атаку обхода каталога (path traversal) и перезаписать произвольных файлов в системе, что может привести к выполнению вредоносного кода. Тогда уязвимость не исправили, а лишь ограничились предупреждением о существующем риске в обновлённой документации. Справедливости ради следует отметить, что сообщений об атаках и угрозах безопасности, способных использовать CVE-2007-4559, не поступало.
Однако недавно компания Trellix опубликовала напоминание об уязвимости. Анализируя несвязанную уязвимость, исследователи заявили, что наткнулись на древнюю ошибку в модуле tarfile.
Обсуждая проблему в системе отслеживания ошибок Python, разработчики еще раз пришли к выводу, что CVE-2007-4559 не является ошибкой: «tarfile.py не делает ничего неправильного», — заявили разработчики, и «нет известных или возможных практических эксплойтов». Официальная документация Python была обновлена ещё раз с предупреждением о возможной опасности, связанной с извлечением архивов из ненадёжных источников.
Курс QA Вивчайте важливi технології для тестувальника у зручний час, та отримуйте $1300 уже через рік роботи РЕЄСТРУЙТЕСЯ!Исследователи Trellix не согласны с таким подходом и настаивают, что
Читать на itc.ua
