Adam Bannister 22 Eylül 2022, 15:39 UTC
Güncelleme: 22 Eylül 2022, 15:45 UTC
Python belgelerine eklenen uyarı, bir yama yerine tercih edildi
Güvenlik araştırmacılarına göre, tahmini 350.000 açık kaynak deposu Python’un tarfile modülündeki 15 yıllık bir yol geçiş güvenlik açığından etkileniyor.
İlgisiz bir güvenlik açığını araştırırken yama uygulanmamış sorunu “tökezleyerek”, başlangıçta kusurun yeni bir sıfırıncı gün hatası olduğunu düşündüler ve bunun aslında 2007’ye kadar uzandığını fark ettiler.
Trellix araştırmacısı Kasimir Schulz, dün (21 Eylül) yayınlanan bir blog yazısında, başlangıçta CVSS 6.8 önem derecesi olarak belirlenen CVE-2007-4559, saldırganların “çoğu durumda” dosya yazma işleminden kod yürütme elde etmesine izin verdiğini söyledi.
En son açık kaynaklı yazılım güvenlik haberlerini yakalayın
Schulz, Trellix araştırmacılarının kablosuz protokol analizörü Universal Radio Hacker, BT altyapı yönetim hizmeti Polemarch ve bilimsel programlama için açık kaynaklı bir geliştirme ortamı olan Spyder IDE’ye karşı bu sonucu nasıl başarılı bir şekilde elde ettiğini açıkladı.
yama maratonu
Ayrı bir Trellix blog gönderisinde, Douglas McKee tarfile modülünü içeren ve tar arşivlerini okumayı ve yazmayı mümkün kılan yaklaşık 300.000 dosyadan oluşan bir örneğin %61’inin bu hataya karşı savunmasız olduğunu söyledi.
Trellix, yaklaşık 11.000 proje için yamalar oluşturdu ve önümüzdeki haftalarda 70.000 projenin daha düzeltileceğini tahmin ediyor.
Charles McFarland’ın üçüncü bir Trellix blog gönderisi, güvenlik açığının “sanitize edilmemiş veya yerleşik varsayılanları kullanan iki veya üç kod satırından” kaynaklandığını açıklıyor. “Üyelerin dosyalarını aramadan önce sterilize etmek için herhangi bir güvenlik kodu yazılmaması veya bir dizin geçişi güvenlik açığı ile sonuçlanarak kötü bir aktörün dosya sistemine erişmesine olanak tanır.”
Saldırgan, dosya adına işletim sistemi ayırıcısı (” veya ”) ile ” eklerse, dosyanın ayıklanması gereken dizinden çıkabilir.
Sadece bir uyarı
Ancak, 2007’den son günlerde yeniden açılan bir Python hata dizisi, bir bakıcının “tarfile.py’nin yanlış bir şey yapmadığını, davranışının POSIX’teki pax tanımına ve yol adı çözümleme yönergelerine uygun olduğunu iddia etmesiyle sonuçlandı. Bilinen veya olası bir pratik istismar yok”.
Bakımcı, yerinde kalan Python belgelerine, geliştiricileri “önceden incelemeden asla güvenilmeyen kaynaklardan arşivleri çıkarmamaya” teşvik eden bir uyarı ekledi.
Köşe kasaları
Trellix’ten McKee, kötü niyetli amaçlarla kötüye kullanılabilecek davranışları korumak için meşru kullanım durumları olduğunu kabul etti. Bununla birlikte, “bu durumda, riskin birkaç köşe vakasını barındırmanın ödülünden daha ağır bastığına inanıyorum” dedi, özellikle “çoğu” üçüncü taraf çevrimiçi öğreticiler, “tarfile modülünün güvensiz kullanımını yanlış bir şekilde gösteriyor” gibi görünüyordu.
Trellix, AST ara gösteriminden yararlanarak kaynak kodundaki güvenlik açığını otomatik olarak algılayan araştırma ve yama sürecine yardımcı olacak bir araç oluşturdu ve açık kaynaklı hale getirdi.
Creosote adı verilen yardımcı program, kapalı kaynak depolarını da taramak için bir araç sağlar.
Schulz, “Bu güvenlik açığından yararlanmak inanılmaz derecede kolay” ve vahşi doğada yaygın, Python’un tarfile modülünü “dünya çapında altyapıyı tehdit eden büyük bir tedarik zinciri sorunu” haline getiriyor.
BUNU DA BEĞENEBİLİRSİN Ayrıştırma Sunucusu, hassas kullanıcı verilerini riske atan kaba kuvvet hatasını düzeltir