En ganska gammal oparpad säkerhetssårbarhet i Python har dykt upp igen, vilket fick forskare att varna för att hundratusentals projekt kan vara sårbara för kodexekvering.
Trellix cybersäkerhetsforskare upptäckte nyligen (öppnas i en ny flik) CVE-2007-4559, ett fel i Python-tarfilpaketet, som först upptäcktes 2007.
Men vid den tidpunkten fick felet aldrig en patch, utan snarare en varning publicerad i en säkerhetsbulletin.
Identifiera utsatta projekt
Sårbarheten finns i kod som använder den osaniserade tarfile.extract()-funktionen eller de inbyggda tarfileextractall()-standardvärdena. "Detta är en vägkorsningsbugg som tillåter en angripare att skriva över godtyckliga filer", skrev inlägget.
Nu, säger forskare, ger felet en dålig aktör tillgång till filsystemet. Python buggspåraren uppdaterades med tillkännagivandet av ett åtgärdat problem, med ett tillägg som säger att "det kan vara farligt att extrahera filer från opålitliga källor." Felet kan missbrukas på både Windows och Linux, hette det.
Femton år är en lång tid och uppenbarligen kan omkring 350.000 257 projekt vara sårbara. Trellix-forskare tog först prov på 61 (65 %) sårbara förvar. En automatiserad analys visade en positiv andel på XNUMX %.
Sedan, med hjälp av GitHub, hittade Trellix-forskare 588 840 unika förråd som inkluderar "import tar-fil" i sin Python-kod, vilket fick dem att dra slutsatsen att 350 000 (eller cirka 61%) kan vara sårbara.
Problemet finns i ett "stort antal" industrier, upptäckte forskarna vidare. Utvecklingssektorn (öppnas i en ny flik) är, föga förvånande, den mest drabbade, följt av webb- och maskininlärningsteknik.
Trellix-forskare har släppt patchar för cirka 11.000 70.000 projekt, tillgängliga som gafflar till det drabbade förvaret. Dessa korrigeringar kommer att läggas till i huvudprojektet via en pull-begäran vid ett senare tillfälle. Ytterligare XNUMX XNUMX projekt förväntas få sina patchar inom några veckor, men att fixa alla kommer att ta lite tid.