您当前的位置:首页 > 电脑百科 > 安全防护 > 漏洞

被忽视15年的CVE-2007-4559 Python漏洞 导致35万项目陷入代码执行风险

时间:2022-09-22 11:53:26  来源:  作者:cnBeta.COM

Python/ target=_blank class=infotextkey>Python 编程语言中一个被忽视了 15 年的漏洞,正在重新引发人们的关注,因为它可能对超过 35 万个开源存储库项目造成影响。其实早在 2007 年,就已经有安全研究人员披露并标记过 CVE-2007-4559 。遗憾的是,它一直没有获得正式的修复补丁。唯一的缓解措施,也只是在更新后的开发者文档中提示了相关风险。但是现在,该漏洞又被发现可用于代码执行。

Bleeping Computer 指出,该漏洞位于 Python tarfile 包中。在使用未经处理的 tarfile.extract() 函数、或 tarfile.extractall() 内置默认值的代码中,这个路径遍历漏洞就有可能被利用于覆盖任意文件。

虽然自 2007 年 8 月首次报告以来,我们一直没有听说与 CVE-2007-4559 有关的漏洞利用报告,但它确实向外界提示了软件供应链中长期被忽视的风险。

Spyder IDE Demo Video - Trellix(via)

今年早些时候,Trellix 的一位安全研究人员在调查另一个安全问题时、再次揪出了 CVE-2007-4559 。

作为一家提供扩展检测和响应(XDR)解决方案的新企业,它由 McAfee Enterprise 和 FireEye 合并而来。

来自 Trellix 高级威胁研究团队的 Charles McFarland 指出:

 

在调用 tarfile.extract() 和 tarfile.extractall() 之前,若开发者未能编写任何安全的代码来清理成员文件,就会导致该目录遍历漏洞被不良行为者利用于访问文件系统。 该缺陷源于 Python 的 tarfile 模块 / extract 函数中的代码,其明确信任 TarInfo 对象中的信息,并加入了传递给 extract 函数的路径和 TarInfo 对象中的名称。
 

 

Polemarch Demo Video - Trellix(via)

披露后不到一周,Python 错误追踪器上的一条消息,就称该问题已经被关闭。更新文档指出,官方正在修复该问题,并提醒大家始终不要通过不受信任的来源来提取档案、否则会陷入相当大的风险。

通过分析,Trellix 研究人员发现该漏洞波及成千上万个开源和闭源软件项目。在随手拉来的一批 257 个有较高可能性包含易受攻击代码的存储库中,他们手动检查了其中 175 个,结果表明风险率高达 61% 。

在对其余存储库开展自动检查后,可知这一几率增加到了 65%,表明问题的存在相当广泛 —— 而且这还只是针对 GitHub 这一个代码托管平台的评估结论。

Charles McFarland 补充道:“在 GitHub 帮助下,我们获得了一个更大的数据集 —— 其中有 58 万 8840 个独特的存储库在其 Python 代码中包含了 import tarfile”。

手动验证的漏洞率高达 61%,Trellix 预估有超过 35 万个存储库易受该漏洞攻击的影响,且其中不乏帮助开发者更快完成项目的多款机器学习工具 —— 比如 GitHub Copilot 。

这款 AI 编程辅助工具依赖于来自数十万个存储库的代码,来提供便捷的“自动完成”编程体验。但若参考代码本身就不够安全,问题就会在不知不觉中传播到更多无辜的新项目中。

通过深入研究,Trellix 发现易受 CVE-2007-4559 漏洞攻击的开源代码,横跨了众多的行业。

如预期那样,开发部门(Development)首当其冲,其次是人工智能(AI)/ 机器学习(ML),以及 Web、安全、管理员工具等项目。



Tags:Python漏洞   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
Python 编程语言中一个被忽视了 15 年的漏洞,正在重新引发人们的关注,因为它可能对超过 35 万个开源存储库项目造成影响。其实早在 2007 年,就已经有安全研究人员披露并标记过...【详细内容】
2022-09-22  Tags: Python漏洞  点击:(0)  评论:(0)  加入收藏
我们实战经常会遇到以下几个问题:1、遇到一个利用步骤十分繁琐的漏洞,中间错一步就无法利用​ 2、挖到一个通用漏洞,想要批量刷洞小赚一波,但手动去测试每个网站工作量太大这个...【详细内容】
2022-02-07  Tags: Python漏洞  点击:(93)  评论:(0)  加入收藏
▌简易百科推荐
Python 编程语言中一个被忽视了 15 年的漏洞,正在重新引发人们的关注,因为它可能对超过 35 万个开源存储库项目造成影响。其实早在 2007 年,就已经有安全研究人员披露并标记过...【详细内容】
2022-09-22  cnBeta.COM     Tags:Python漏洞   点击:(0)  评论:(0)  加入收藏
IT之家 9 月 7 日消息,谷歌于 9 月 2 日发布了其 Chrome 浏览器的更新,其中包含针对 Mac 和 Windows 版漏洞的修复。Chrome 浏览器 105.0.5195.102 版本更新已推出,修复了一个...【详细内容】
2022-09-07    IT之家  Tags:0 day 漏洞   点击:(26)  评论:(0)  加入收藏
log4j-2远程代码执行漏洞是因为log4j的版本中存在jndi(java Naming and Directory Interface)注入漏洞,jndi注入是利用的动态类加载机制完成攻击的,当程序将用户输入的数据进...【详细内容】
2022-09-04  互联网资讯看板     Tags:log4j2   点击:(38)  评论:(0)  加入收藏
【摘要】 漏洞靶场,不仅可以帮助我们锻炼渗透测试能力、可以帮助我们分析漏洞形成机理、更可以学习如何修复提高代码能力,同时也可以帮助我们检测各种各样漏洞扫描器的效果。W...【详细内容】
2022-09-01  爱生活的VVGktA    Tags:Web漏洞   点击:(29)  评论:(0)  加入收藏
CVE-2022-22965A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) via data binding. The specific explo...【详细内容】
2022-08-31  BYsususu    Tags:漏洞   点击:(33)  评论:(0)  加入收藏
安全研究人员发现有超过8万台海康威视摄像头受到CVE-2021-36260漏洞的影响。CVE-2021-36260漏洞是一个命令注入漏洞,攻击者利用该漏洞可以发送伪造的消息给有漏洞的web服务器...【详细内容】
2022-08-26  嘶吼RoarTalk  网易  Tags:漏洞   点击:(100)  评论:(0)  加入收藏
一、前言1.1 下载地址二、CVE-2017-175622.1 漏洞分析cve-2017-17562远程命令执行漏洞影响Goahead 2.5.0到Goahead 3.6.5之间的版本。在cgiHandler函数中,将用户的HTTP请求参...【详细内容】
2022-08-26  iHacking    Tags:漏洞   点击:(31)  评论:(0)  加入收藏
什么是0day漏洞? 0day漏洞,是指已经被发现,但是还未被公开,同时官方还没有相关补丁的漏洞;通俗的讲,就是除了黑客,没人知道他的存在,其往往具有很大的突发性、破坏性、致命性。0day...【详细内容】
2022-08-25  中科三方  搜狐号  Tags:0day漏洞   点击:(40)  评论:(0)  加入收藏
黑客利用 General Bytes 比特币 ATM 服务器中的零日漏洞从客户那里窃取加密货币。当客户通过 ATM 存入或购买加密货币时,资金将被黑客直接转走。General Bytes 是比特币 ATM...【详细内容】
2022-08-22  LUCA研究所    Tags:零日漏洞   点击:(25)  评论:(0)  加入收藏
漏洞描述近日,亚信安全CERT监测到Apple发布安全通告,修复了多个安全漏洞,包括Apple Kernel权限提升漏洞(CVE-2022-32894)和Apple WebKit代码执行漏洞(CVE-2022-32893)。Apple Kerne...【详细内容】
2022-08-22  亚信安全    Tags:   点击:(52)  评论:(0)  加入收藏
站内最新
站内热门
站内头条