350.000 kadar açık kaynak projesinin, bir Python modülünde 15 yıldır yama uygulanmayan bir güvenlik açığının bir sonucu olarak potansiyel olarak istismara açık olduğuna inanılıyor.
Açık kaynak havuzları, yazılım geliştirme, yapay zeka/makine öğrenimi, web geliştirme, medya, güvenlik, BT yönetimi gibi bir dizi endüstri dikeyini kapsar.
CVE-2007-4559 (CVSS puanı: 6.8) olarak izlenen eksiklik, başarılı bir şekilde kullanılması rastgele bir dosya yazma işleminden kod yürütülmesine yol açabilecek olan tarfile modülünden kaynaklanmaktadır.
Trellix güvenlik araştırmacısı Kasimir Schulz, “Açıklık, bir saldırganın bir TAR arşivindeki dosya adlarına ‘..’ dizisini ekleyerek rasgele dosyaların üzerine yazmasına izin veren tarfile modülündeki ayıklama ve çıkarma işlevlerinde bir yol geçiş saldırısıdır.” yazma.
İlk olarak Ağustos 2007’de açıklanan hata, yalnızca dosyayı açtıktan sonra hedef makinedeki rastgele dosyaların üzerine yazmak için özel olarak hazırlanmış bir tar arşivinden nasıl yararlanılabileceğiyle ilgili.
Basitçe söylemek gerekirse, bir tehdit aktörü, bir dosyanın çıkarılması amaçlanan dizinden kaçmayı ve kod yürütmeyi gerçekleştirmeyi mümkün kılacak ve saldırganın potansiyel olarak bir hedefin kontrolünü ele geçirmesine izin verecek şekilde kötü amaçlı bir tarfile yükleyerek zayıflıktan yararlanabilir. cihaz.
Tarfile için Python belgeleri, “Asla güvenilmeyen kaynaklardan arşivleri önceden incelemeden çıkarmayın” diyor. “Dosyaların yolun dışında oluşturulması mümkündür, örneğin “https://thehackernews.com/” ile başlayan mutlak dosya adlarına veya iki noktalı dosya adlarına sahip üyeler ‘..’.”
Güvenlik açığı, RARlab’ın UnRAR yardımcı programında (CVE-2022-30333) yakın zamanda açıklanan ve uzaktan kod yürütülmesine neden olabilecek bir güvenlik açığını da hatırlatıyor.
Trellix, CVE-2007-4559’a karşı savunmasız projeleri taramak için Creosote adlı özel bir yardımcı program yayınladı ve bunu Spyder Python IDE ve Polemarch’taki güvenlik açığını ortaya çıkarmak için kullandı.
Douglas McKee, “Denetlenmeden bırakıldığında, bu güvenlik açığı dünya çapında yüz binlerce açık ve kapalı kaynaklı projeye kasıtsız olarak eklendi ve önemli bir yazılım tedarik zinciri saldırı yüzeyi oluşturdu” dedi.