До 350 000 проектов с открытым исходным кодом потенциально уязвимы для атаки в результате наличия дефекта безопасности в модуле Python, который оставался неисправленным в течение 15 лет.
Репозитории с открытым исходным кодом охватывают ряд отраслевых вертикалей, таких как разработка программного обеспечения, искусственный интеллект/машинное обучение, веб-разработка, медиа, безопасность, управление ИТ.
Недостаток, отслеживаемый как CVE-2007-4559 (рейтинг CVSS: 6.8), коренится в модуле tarfile, успешная эксплуатация которого может привести к выполнению кода и произвольной записи файла.
«Уязвимость представляет собой атаку обхода пути в функциях extract и extractall в модуле tarfile, которая позволяет злоумышленнику перезаписать произвольные файлы путем добавления последовательности '.' к именам файлов в архиве TAR» - сообщил в своем отчете исследователь безопасности Trellix Казимир Шульц.
Ошибка, первоначально раскрытая в августе 2007 года, связана с тем, что специально созданный архив tar может быть использован для перезаписи произвольных файлов на целевой машине просто при открытии файла.
Проще говоря, злоумышленник может использовать эту уязвимость, загрузив вредоносный tar-файл таким образом, чтобы выйти из каталога, в который должен быть извлечен файл, и добиться выполнения кода, что позволит атакующему потенциально захватить контроль над целевым устройством.
«Никогда не извлекайте архивы из ненадежных источников без предварительной проверки» - сообщается в документации к tarfile на языке Python. «Возможно, что файлы создаются вне пути, например, члены, имеющие абсолютные имена файлов, начинающиеся с '/', или имена файлов с двумя точками '.'».
Уязвимость напоминает недавно раскрытую уязвимость в утилите UnRAR от RARlab (CVE-2022-30333), которая может привести к удаленному выполнению кода.
Trellix выпустила собственную утилиту Creosote для сканирования проектов, уязвимых к CVE-2007-4559. С ее помощью была обнаружена уязвимость в Spyder Python IDE, а также в Polemarch.
«Оставленная без контроля, эта уязвимость была непреднамеренно добавлена в сотни тысяч проектов с открытым и закрытым исходным кодом по всему миру, создавая значительную поверхность для атак в цепочке поставок программного обеспечения» - отметил Дуглас МакКи.
Источник: https://thehackernews.com