Python の脆弱性、35 万以上のオープン プロジェクトに影響 – インタースターズ

350,000 を超えるオープンソースの Python プロジェクトが、15 年前から知られている脆弱性の脅威にさらされています。

Python パッケージの 15 年前の脆弱性のおかげ ».tar ファイル「攻撃者は、350,000 を超えるオープン ソース プロジェクトのファイルを上書きできます。 ただし、その結果、多くのクローズド ソース プロジェクトも影響を受けます。 Trellix のセキュリティ研究者は、開発者ができるだけ早く脆弱性を修正することを推奨しています。

15 年前の Python の脆弱性により、攻撃者はファイルを上書きできます

Python の 15 年前の脆弱性により、現在 350,000 を超えるオープン ソース プロジェクトと無数の他のオープン ソース プロジェクトが脆弱なままになっています。 2007 年から知られている CVE-2007-4559 の脆弱性により、攻撃者はファイルを上書きして悪意のあるコードを実行できます。 唯一の軽減策は、開発者にリスクを警告するためにドキュメントを更新することでした」 信頼できないソースからアーカイブを抽出する」。

別のセキュリティ問題を調査しているときに、McAfee Enterprise と FireEye の合併によって形成されたコンピューター セキュリティ会社 Trellix の研究者が、ほこりの多い脆弱性を再発見しました。 BleepingComputer によると、Python の脆弱性が実際に悪用されていることは現在不明です。 しかし、これが 15 年間文書化されてきたという事実は、事件の爆発性を低下させるものではなく、ソフトウェア サプライ チェーンに大きなリスクをもたらします。

Python パッケージ ».tar ファイル脆弱性の中心にある

ひとつひとつのパッケージに」.tar ファイル」エラーが発生すると、許可されていない人がファイルを上書きする可能性があります。 Trellix の研究者である Kasimir Schulz は、ブログ投稿で Python の脆弱性の悪用に関する詳細を共有しました。 また、Spyder IDE の Windows バージョンで CVE-2007-4559 が悪用される方法を示すビデオも提供します。

しかし、Linux と Docker で動作する IT インフラストラクチャ管理サービスの研究者である Polemarch が狙いを定めている、すべての Linux の友人向けの対応するビデオもあります。

350,000 以上のオープンソース プロジェクトと他の多くのプロジェクトが影響を受けています

多くのオープン ソースおよびクローズド Python ベース プロジェクトがこの脆弱性の影響を受けます。 257 のリポジトリをランダムにスキャンしたところ、Trellix のセキュリティ研究者はそれらの 61% が脆弱性に対して脆弱であることがわかりました。 チームは GitHub と協力して、「 tar ファイルをインポートする ” 含む。 計算された脆弱性率 61% と組み合わせると、これらのプロジェクトのうち 350,000 件以上が潜在的に脆弱であると研究者は結論付けています。

パイソンのロゴ

特に、高度に自動化された機械学習ツールは、多くの場合他の何千ものリポジトリのソース コードに依存しているため、特に脆弱です。 1 つでも影響を受けると、問題は最終的に無数の他のプロジェクトに広がります。

11,000 を超える Python プロジェクトに対して、Trellix は影響を受けるリポジトリのフォークの一部として、脆弱性に対するパッチを既に提供しています。 研究者は、今後数週間で 70,000 以上のソフトウェア プロジェクトの修正を期待しています。 しかし、BleepingComputer によると、100% マークに到達するのは難しいでしょう。 結局、メンテナは関連するマージ リクエストも受け入れる必要があります。

#Python #の脆弱性35 #万以上のオープン #プロジェクトに影響 #インタースターズ

Leave a Reply

Your email address will not be published. Required fields are marked *