פגיעות שהתגלתה בשפת הקידוד Python בשנת 2007 יכולה לשמש לביצוע קוד בלמעלה מ-350,000 פרויקטים.

פגם פייתון קיים כבר חמש עשרה שנה

פגם שלא תוקן ב- שפת תכנות Python כעת מהווה איום רציני על מאות אלפי פרויקטים. הפגיעות, הידועה בשם CVE-2007-4559, התגלתה לפני חמש עשרה שנים אך נחשבה בסיכון נמוך, ולכן לא תוקנה (אם כי הוצאה אזהרה למפתחים לגבי הפגם).

הפגם ב-CVE-2007-4559 קיים בפונקציות "חלץ" ו-"extractall" במודול ה-tarfile של Python. זהו באג של חציית נתיב, המאפשר לשחקנים זדוניים לדרוס קבצים שרירותיים על ידי העלאת Tarfile זדוני. לאחר מכן ניתן להפעיל את ה-tarfile הזה, מה שנותן לשחקן הזדוני שליטה במכשיר נתון.

ניתן לנצל מעל 350,000 פרויקטים בקוד פתוח וסגור על פני מגוון תעשיות באמצעות חציית נתיב שרירותית באמצעות הפגיעות CVE-2007-4559.

הפגיעות של Python התגלתה מחדש בשנת 2022

הפגיעות הספציפית הזו של Python התגלתה מחדש בתחילת 2022 על ידי חוקר הפגיעות של Trellix Kasimir Schulz, אם כי זה נעשה בטעות תוך כדי חקירת סוגיית אבטחה אחרת. שולץ החזיר את CVE-2007-4559 לאור הזרקורים, אם כי תחילה חשבו שהוא חדש לגמרי יום אפס פְּגָם. אבל עד מהרה התגלה שזהו, למעשה, הפגם הממושך בפיתון שהתגלה חמש עשרה שנים קודם לכן.

instagram viewer

Trellix עשתה במהירות ציוץ שהודיע ​​לאנשים על הפגם ועל האיום שלו על פרויקטים מבוססי Python.

לאחר הגילוי המחודש הזה, Trellix יצרה טלאים עבור למעלה מ-11,000 פרויקטים, אם כי פרויקטים רבים נוספים צפויים לקבל תיקון בשבועות הקרובים. Trellix יצרה גם כלי חינמי, הנקרא Creosote, שניתן להשתמש בו כדי לסרוק את נוכחות הפגיעות של Tarfile CVE-2007-4559.

CVE-2007-4559 עדיין לא מנוצל

למרות שפגם השפה של Python מהווה איום משמעותי על אלפי פרויקטים, נראה שהוא עדיין לא נוצל. החוקרים מקווים שפרויקטים יתוקנו לפני ששחקנים זדוניים יוכלו לנצל את הפגם, אם כי זה עשוי לוקח קצת זמן, וקלות הניצול של CVE-2007-4559 הופכת אותו לבעיית שרשרת אספקה ​​ענקית.

פגיעויות ממשיכות להוות איום על אנשים וארגונים כאחד

פרצות אבטחה מתגלות כל הזמן על ידי חוקרים ואנליסטים, כאשר פושעי סייבר להוטים לנצל אותן לפני שהם מקבלים תיקון. זה ימשיך להוות דאגה בכל הענפים, וככל הנראה יגרום לבעיות נוספות בעתיד. במקרה של CVE-2007-4559, Trellix להוטה לספק לפרויקטים קוד מתוקן בהקדם האפשרי, כך שלא ניתן לנצל את הפגם הזה על ידי שחקנים זדוניים.