350,000 を超えるオープンソースの Python プロジェクトが、15 年前から知られている脆弱性の脅威にさらされています。 Python パッケージの 15 年前の脆弱性のおかげ ».tar ファイル「攻撃者は、350,000 を超えるオープン ソース プロジェクトのファイルを上書きできます。 ただし、その結果、多くのクローズド ソース プロジェクトも影響を受けます。 Trellix のセキュリティ研究者は、開発者ができるだけ早く脆弱性を修正することを推奨しています。 15 年前の Python の脆弱性により、攻撃者はファイルを上書きできます Python の 15 年前の脆弱性により、現在 350,000 を超えるオープン ソース プロジェクトと無数の他のオープン ソース プロジェクトが脆弱なままになっています。 2007 年から知られている CVE-2007-4559 の脆弱性により、攻撃者はファイルを上書きして悪意のあるコードを実行できます。 唯一の軽減策は、開発者にリスクを警告するためにドキュメントを更新することでした」 信頼できないソースからアーカイブを抽出する」。 別のセキュリティ問題を調査しているときに、McAfee Enterprise と FireEye の合併によって形成されたコンピューター セキュリティ会社 Trellix の研究者が、ほこりの多い脆弱性を再発見しました。 BleepingComputer によると、Python の脆弱性が実際に悪用されていることは現在不明です。 しかし、これが 15 年間文書化されてきたという事実は、事件の爆発性を低下させるものではなく、ソフトウェア サプライ チェーンに大きなリスクをもたらします。 […]