Python kodlama dilinde 2007'de keşfedilen bir güvenlik açığı, 350.000'den fazla projede kod yürütmek için kullanılabilir.
Python Kusuru On Beş Yıldır Var
Düzeltilmemiş bir kusur Python programlama dili yüzbinlerce proje için ciddi bir tehdit oluşturuyor. CVE-2007-4559 olarak bilinen güvenlik açığı on beş yıl önce keşfedildi, ancak düşük riskli olarak kabul edildi ve bu nedenle yama uygulanmadı (gerçi geliştiricilere kusur hakkında bir uyarı verildi).
CVE-2007-4559 kusuru, Python'un tarfile modülündeki "extract" ve "extractall" işlevlerinde bulunur. Bu, kötü niyetli aktörlerin kötü amaçlı bir tar dosyası yükleyerek rastgele dosyaların üzerine yazmasına izin veren bir yol geçişi hatasıdır. Bu tar dosyası daha sonra çalıştırılabilir ve kötü niyetli aktöre belirli bir cihazın kontrolünü verir.
Çeşitli sektörlere yayılan 350.000'den fazla açık ve kapalı kaynak projesi, CVE-2007-4559 güvenlik açığı kullanılarak rastgele yol geçişi yoluyla kullanılabilir.
Python Güvenlik Açığı 2022'de Yeniden Keşfedildi
Bu özel Python güvenlik açığı, 2022'nin başlarında Trellix güvenlik açığı araştırmacısı Kasimir Schulz tarafından yeniden keşfedildi, ancak bu, başka bir güvenlik sorununu araştırırken yanlışlıkla yapıldı. Schulz, CVE-2007-4559'u yeniden gündeme getirdi, ancak ilk başta tamamen yeni olduğu düşünüldü. sıfır gün kusur. Ancak kısa süre sonra bunun aslında on beş yıl önce keşfedilen uzun süredir devam eden Python kusuru olduğu keşfedildi.
Trellix, hızlı bir şekilde insanları kusur ve Python tabanlı projelere yönelik tehdit konusunda bilgilendiren bir tweet attı.
Bu yeniden keşfin ardından Trellix, 11.000'den fazla proje için yama oluşturdu, ancak önümüzdeki haftalarda çok daha fazla projenin yama alacağı düşünülüyor. Trellix ayrıca, CVE-2007-4559 tar dosyası güvenlik açığının varlığını taramak için kullanılabilen Creosote adlı ücretsiz bir araç oluşturmuştur.
CVE-2007-4559 Henüz Kullanılmayacak
Bu Python dili kusuru, binlerce proje için önemli bir tehdit oluştursa da, henüz istismar edilmemiş gibi görünüyor. Araştırmacılar, kötü niyetli aktörler kusurdan yararlanamadan projelerin yamalanacağını umuyorlar. biraz zaman alabilir ve CVE-2007-4559'dan yararlanma kolaylığı, onu potansiyel olarak büyük bir tedarik zinciri sorunu haline getirir.
Güvenlik Açıkları, Hem Kişiler hem de Kuruluşlar İçin Tehdit Oluşturmaya Devam Ediyor
Güvenlik açıkları araştırmacılar ve analistler tarafından sürekli olarak keşfediliyor ve siber suçlular bir yama almadan önce bunları istismar etmeye hevesli. Bu, tüm sektörlerde bir endişe kaynağı olmaya devam edecek ve muhtemelen gelecekte daha fazla soruna neden olacaktır. CVE-2007-4559 söz konusu olduğunda, Trellix bu kusurun kötü niyetli aktörler tarafından kötüye kullanılmaması için projelere en kısa sürede onarılmış kod sağlamaya isteklidir.
