由FireEye與McAfee Enterprise合併而成的資安業者Trellix本周警告,熱門程式語言Python的Tarfile模組中含有一個15年前就被發現的安全漏洞CVE-2007-4559,當初這個風險等級只被列為6.8的目錄遍歷(Directory Traversal)漏洞並未被修補,然而,研究人員卻發現它很輕易就可用來執行程式,估計波及逾35萬個開源專案。

Tarfile為Python中的預設模組,因此,該漏洞廣泛存在於任何使用Python的框架中,從Netflix、AWS、Intel、Google到Meta,或是各種與機器學習、自動化及容器化有關的應用程式,駭客只要上傳一個由兩到三行程式碼產生的惡意程式,就能允許駭客執行任意程式,或是控制目標裝置。

Trellix的安全研究人員Kasimir Schulz指出,他們是在調查另一個漏洞時,無意間遇到CVE-2007-4559,原本以為它是個新的零時差安全漏洞,沒想到是2007年就被揭露的老舊漏洞;此一在過去並未受到重視的漏洞,在大多數的狀況下,卻允許駭客藉由寫入檔案而執行程式。

Trellix團隊已成功攻陷了基於Python的Spyder IDE與Polemarch中的CVE-2007-4559漏洞。

為了估算CVE-2007-4559漏洞的規模,研究人員選出了257個最有可能含有該漏洞的儲存庫,發現當中有175個含有CVE-2007-4559,比例為61%,而在GitHub上的專案中,於Python程式碼中包含輸入Tarfile的專案總計有588,840個,若以61%來計算,那麼有超過35萬個開源專案含有該漏洞,且此一估計並未納入封閉專案。

Trellix也打造了一個Python腳本程式Creosote來尋找CVE-2007-4559漏洞,該工具適用於Python 3.9及之後的版本,並同時支援Windows、Linux及macOS。

熱門新聞

Advertisement