Python menderita bug berusia 15 tahun yang terus bermunculan

Segera: Bahasa pemrograman Python dipengaruhi oleh masalah keamanan yang telah diketahui oleh programmer selama beberapa waktu. Peneliti Trellix baru-baru ini menemukan bug yang membahayakan ratusan ribu proyek perangkat lunak dan memperbaiki puluhan ribu.

Sebagai salah satu bahasa pemrograman paling populer di dunia, Python merupakan peluang sekaligus risiko bagi perangkat lunak sumber terbuka dan rantai pasokan perangkat lunak. Contoh konkret: Para peneliti telah menemukan kembali kerentanan yang telah disembunyikan di Python selama 15 tahun. Kesalahan “berfungsi dengan desain”, setidaknya menurut pengembang Python; Yang lain berpikir secara berbeda dan mencoba memberikan tambalan untuk proyek yang terpengaruh.

Kerentanan ini pertama kali ditemukan pada tahun 2007 dan terdaftar sebagai CVE-2007-4559, dan berada dalam modul tarfile yang digunakan program Python untuk membaca dan menulis tarball. Masalahnya adalah kesalahan traversal jalur yang dapat dieksploitasi untuk menimpa file arbitrer pada sistem, yang dapat menyebabkan eksekusi kode berbahaya.

Sejak pertama kali dilaporkan 15 tahun yang lalu, kerentanan file tar belum menerima patch atau patch perbaikan – hanya peringatan akan risiko yang ada. Agar adil, belum ada laporan serangan dan ancaman keamanan yang dapat mengeksploitasi CVE-2007-4559.

Namun, penarikan kesalahan baru-baru ini dirilis oleh Trellix. Saat menyelidiki kerentanan independen, para peneliti mengklaim telah menemukan bug lama di modul tarfile.

https://www.youtube.com/watch?v=jqs8S51_FRg

Saat membahas masalah di debugger Python, pengembang kembali menyimpulkan bahwa CVE-2007-4559 bukan bug: pengembang mengatakan “tarfile.py tidak melakukan kesalahan”, padahal tidak. Tidak ada “praktik yang diketahui atau mungkin”. menggunakan. Dokumentasi resmi Python telah diperbarui lagi, dengan peringatan tentang potensi risiko mengekstrak arsip dari sumber yang tidak dapat diandalkan.

Namun, peneliti Trellix melihat masalahnya dengan sangat berbeda: CVE-2007-4559 sebenarnya adalah kerentanan, kata mereka. Sebagai bukti, para peneliti menggambarkan dan mendemonstrasikan eksploitasi sederhana yang mengeksploitasi bug menggunakan Lingkungan Pengembangan Pemrograman Ilmiah Spyder.

Trellix juga menyelidiki penyebaran CVE-2007-4559, menganalisis proyek open source dan tertutup. Mereka awalnya mendeteksi tingkat kerentanan 61% di 257 repositori token yang berbeda, meningkatkan persentase menjadi 65% setelah pemindaian otomatis, dan akhirnya menganalisis kumpulan data yang lebih besar dari 588.840 repositori unik yang dihosting di GitHub.

Secara keseluruhan, Trellix memperkirakan bahwa lebih dari 350.000 proyek dapat berisiko terkena CVE-2007-4559, dengan banyak dari proyek ini digunakan oleh alat pembelajaran mesin untuk membantu pengembang menyelesaikan proyek lebih cepat. Para peneliti telah mengambil sikap dan telah membuat tambalan untuk sekitar 11.000 proyek, dengan lebih banyak lagi yang akan menyusul dalam beberapa minggu mendatang.

Baca Juga!

Unduh Aplikasi EA 12.17.0 5274

Aplikasi EA adalah klien PC tercepat dan teringan kami hingga saat ini. Desain baru yang …