lundi, 5 décembre 2022

La vulnérabilité Python tarfile affecte 350 000 projets open source (CVE-2007-4559)

Trellix Advanced Proving Ground a publié son étude de recherche sur CVE-2007-4559, une vulnérabilité estimée être présente dans plus de 350 000 projets open-source et répandue dans les projets open-source.

Exploit réussi

La vulnérabilité existe dans le module Python tarfile qui est un module par défaut dans tout travail utilisant Python et se trouve largement dans les frameworks produits par Netflix, AWS, Intel, Facebook, Google , et des applications utilisées pour l’intelligence artificielle, l’automatisation et la conteneurisation de docker.

La vulnérabilité peut être exploitée en publiant un fichier nuisible généré avec deux ou trois lignes de code de base et permet aux adversaires d’exécuter ou de contrôler approximativement le code d’un gadget cible.

« Lorsque nous discutons des risques de la chaîne d’approvisionnement, nous nous référons généralement aux cyber-attaques comme l’occurrence de SolarWinds, mais construire sur des bases de code faibles peut avoir un impact tout aussi grave », a déclaré Christiaan Beek, Responsable Adversarial & Vulnerabili ty Research, Trellix. « L’omniprésence de cette vulnérabilité est renforcée par les didacticiels du marché et les produits en ligne qui propagent son utilisation inexacte. Il est crucial que les développeurs soient informés sur toutes les couches de la pile d’innovation pour empêcher correctement la réintroduction des anciennes surfaces d’attaque. »

Ouvrir Les outils de conception source, comme Python, sont essentiels pour faire progresser l’informatique et le développement, et la protection contre les vulnérabilités comprises nécessite une collaboration du marché. Les scientifiques s’efforcent de pousser le code via la demande d’extraction GitHub pour protéger les tâches open source de la vulnérabilité.

Un outil totalement gratuit permettant aux concepteurs d’examiner si leurs applications sont sensibles est disponible sur GitHub, et le total l’étude de recherche est facilement disponible sur Trellix.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici