Le bogue, suivi sous CVE-2007-4559, a été découvert par le groupe de Trellix dans le module tarfile de Python fin 2015. Il a été signalé pour la première fois au projet Python en 2007 mais n’a pas été traité , car elle était considérée comme de faible valeur à l’époque.
Depuis, son existence s’est considérablement élargie. Le bogue aurait un impact sur environ 350 000 emplois de logiciels open source et de nombreuses autres tâches d’application logicielle à code source fermé.
Kasimir Schulz, chercheur en vulnérabilités pour Trellix’s Risk Labs, a décrit la découverte dans un article de blog. « En examinant une vulnérabilité non associée, le Trellix Advanced Research Center est tombé sur une vulnérabilité dans le module tarfile de Python. Au début, nous pensions avoir en fait trouvé une toute nouvelle vulnérabilité zero-day. réalité CVE-2007-4559. »
Cette vulnérabilité particulière est une attaque de parcours dans les fonctions ‘extract’ et ‘extractall’ du module tarfile. Lorsqu’il est exploité, il permet à un ennemi d’écraser des fichiers approximatifs en incluant le « . » série aux noms de fichiers dans une archive TAR.
Problème mondial de la chaîne d’approvisionnement
Le groupe de Trellix a dressé une liste distincte de référentiels à analyser après avoir obtenu une liste de référentiels et de fichiers contenant le mot-clé « import tarfile » de GitHub.
Le groupe a ensuite cloné et analysé chaque référentiel à l’aide d’un outil spécial de vérification de la vulnérabilité des applications appelé Creosote, qui a été créé pour cette fonction.
« Après avoir examiné les fichiers, Creosote imprimera tous les fichiers susceptibles de contenir des vulnérabilités, en les classant en 3 classifications basées sur le niveau de confiance en soi (Susceptible, Très probablement vulnérable, Possiblement susceptible) », a expliqué Shulz.
Une fois que Creosote a fait son travail, le groupe a remplacé le fichier d’origine par un fichier corrigé si nécessaire. « Comme nous l’avons démontré ci-dessus, cette vulnérabilité est exceptionnellement facile à utiliser, nécessitant peu ou pas de connaissances sur des sujets de sécurité complexes », a déclaré Shulz.
« En raison de cette réalité et de la prévalence de la vulnérabilité dans la nature, le module tarfile de Python est devenu un énorme problème de chaîne d’approvisionnement menaçant les infrastructures dans le monde entier. »
Toute l’actualité en temps réel, est sur L’Entrepreneur