15年前存在一种影响全球软件业的 Python 漏洞

在长达15年的时间里，Python中的一个漏洞没有被修复，仍然存在于许多旧版本的代码之中，因此得以蔓延到全球成千上万个开源和闭源项目。研究人员警告，这无意中构成了一条大范围易受攻击的软件供应链，大多数受影响的组织还蒙在鼓里。

Trellix高级研究中心的分析师发现，一个与路径遍历相关的漏洞被编号为CVE-2007-4559，目前在350000多个独特的开源代码存储库中仍未修补，导致应用软件容易被利用。

McKee在博文中写道，Trellix的研究人员最近发现Python的tarfile模块没有合理检查企业设备中的路径遍历漏洞后，以为无意中发现了一个新的Python零日漏洞。不过他们很快就意识到，这个漏洞是之前就已经发现的。

McKee表示，由于Python之类的开源项目由一群志愿者而不是一个联合组织（以及非营利基金会）运行和维护，因此更难及时跟踪和修复已知的问题。此外，库或软件开发工具包……将安全地使用API视为开发人员的一部分责任并不少见。

McKee特别指出，这种差异使得该漏洞被编写到整条供应链中，这个恶化的趋势看上去可能会一直延续未来数年，除非对这个问题的未来有更广泛的深入的认识。

攻击者要利用该漏洞，就需要为文件名添加带有操作系统分隔符（“/”或“\”）的“..”，已逃离目录（文件本该被解压到该目录）。Python的tarfile模块让开发人员恰好可以做到这点。

Schulz在博文中解释，Python中的Tarfile包含多个不同的文件和元数据，元数据后来用于解压缩tarfile本身。TAR存档文件中包含的元数据包括但不限于文件名、文件大小和校验和之类的信息以及文件存档时有关文件所有者的信息。这些数据可以通过tar存档文件来访问，也可以通过tar文件的一个或多个附加功能来访问。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!