В Python повторно нашли не закрытую 15 лет назад уязвимость
В Python так и не закрыли уязвимость, найденную ещё в 2007 году, утверждает портал Bleeping Computer. Под ударом сейчас находится более 350 тысяч проектов с открытым исходным кодом.
Существование уязвимости не было тайной, она была найдена в конце августа 2007 года, но её не закрыли и не присвоили ей степень опасности, только индекс — CVE-2007–4559. Сама брешь находится в пакете tarfile Python, там, где используются непроверенные функции tarfile.extract () или tarfile.extractall (). Ею можно воспользоваться для потенциальной перезаписи или захвата файлов на компьютере жертвы при открытии уязвимым приложением вредоносного tar-архива через tarfile.
Повторное выявление уязвимости принадлежит исследователям безопасности из компании Trellix. Когда они изучали другую проблему в Python, обратили внимание на CVE-2007–4559 и убедились, насколько опасна находка. Эксперты взяли 257 репозиториев и вручную проверили 175 из них. Оказалось, брешь присутствует в 61% из них.
Сотрудники компании Trellix подготовили исправления для чуть более чем 11 тысяч проектов на GitHub, которые будут доступны в ответвлении затронутых репозиториев. Далее они будут добавлены в основной проект через pull request. Кроме того, более чем 70 тысяч проектов получат исправление в ближайшее время.
Python Software Foundation 15 лет не решала проблему и не предупреждала разработчиков о ней. На данный момент брешь всё ещё не исправлена. Хотя в документации разработчики языка Python добавили предупреждение, что открытие архивов из ненадёжных источников может быть опасным.
