这个Python 0day 已存在15年，已影响超过35万个开源项目

这个Python 0day 已存在15年，已影响超过35万个开源项目 https://mp.weixin.qq.com/s/-00LEYzwa9HFg3Oam7LJqw

这个Python 0day 已存在15年，已影响超过35万个开源项目

Ravie Lakshmanan 代码卫士 2022-09-23 19:46 发表于江苏

收录于合集

#供应链安全192个

#SCA40个

#开源286个

 聚焦源代码安全，网罗国内外最新资讯！

 

 

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

 

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

 

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

 

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

 

超过35万个开源项目被指易被攻击，原因是Python模块中存在一个已有15年历史的未修复漏洞。该Python 仓库用于大量垂直行业中，如软件开发、人工智能/机器学习、web开发、媒体、安全和IT管理行业。

该漏洞是CVE-2007-4559（CVSS评分6.8），位于tarfile模块中。如遭成功利用，该漏洞可导致攻击者通过任意文件写而执行代码。

发现该漏洞的安全研究员 Kasimir Schulz 表示，“该漏洞是位于tarfile模块中extract和extractall 函数中的路径遍历攻击，可导致攻击者通过在TAR文档中的文件名称中增加 ‘..’序列而覆写任意文件。”

该漏洞最初披露于2007年8月，与如何只需打开特殊构造的tar文档，即可在目标机器上覆写任意文件有关。简言之，威胁行动者可上传恶意tarfile利用该漏洞，逃逸文件提取目录并实现代码执行，从而导致攻击者控制目标设备。

Python 的tarfile 指出，“在未经检查之前，从来不要从不受信任的来源中提取文档。文件可能会在路径之外创建如以’/’开头的绝对文件名称或具有两个点’..’的文件名称的成员。”

该漏洞类似于近期披露的位于RARlab 解压缩文件中的漏洞（CVE-2022-30333），后者可导致远程代码执行后果。

Trellix 还发布了自定义工具Creosote 扫描易受CVE-2007-4559影响的项目，帮助发现位于Spyder Python IDE以及Polemarch中是否存在该漏洞。

Douglas McKee 提到，“该漏洞尚未修复，已被无意间添加到全球几十万个开源和闭源项目中，从而可能造成庞大的软件供应链攻击面。”

 

 

 

 

 

 

搜索

复制