被忽视15年的CVE-2007-4559 Python漏洞 导致35万项目陷入代码执行风险

Android社区 收藏文章

0-1.jpg

Bleeping Computer 指出,该漏洞位于 Python tarfile 包中。在使用未经处理的 tarfile.extract() 函数、或 tarfile.extractall() 内置默认值的代码中,这个路径遍历漏洞就有可能被利用于覆盖任意文件。

虽然自 2007 年 8 月首次报告以来,我们一直没有听说与 CVE-2007-4559 有关的漏洞利用报告,但它确实向外界提示了软件供应链中长期被忽视的风险。

Spyder IDE Demo Video - Trellix(via

今年早些时候,Trellix 的一位安全研究人员在调查另一个安全问题时、再次揪出了 CVE-2007-4559 。

作为一家提供扩展检测和响应(XDR)解决方案的新企业,它由 McAfee Enterprise 和 FireEye 合并而来。

0-2.jpg

来自 Trellix 高级威胁研究团队的 Charles McFarland 指出:

在调用 tarfile.extract() 和 tarfile.extractall() 之前,若开发者未能编写任何安全的代码来清理成员文件,就会导致该目录遍历漏洞被不良行为者利用于访问文件系统。

该缺陷源于 Python 的 tarfile 模块 / extract 函数中的代码,其明确信任 TarInfo 对象中的信息,并加入了传递给 extract 函数的路径和 TarInfo 对象中的名称。

Polemarch Demo Video - Trellix(via

披露后不到一周,Python 错误追踪器上的一条消息,就称该问题已经被关闭。更新文档指出,官方正在修复该问题,并提醒大家始终不要通过不受信任的来源来提取档案、否则会陷入相当大的风险。

通过分析,Trellix 研究人员发现该漏洞波及成千上万个开源和闭源软件项目。在随手拉来的一批 257 个有较高可能性包含易受攻击代码的存储库中,他们手动检查了其中 175 个,结果表明风险率高达 61% 。

2.jpg

在对其余存储库开展自动检查后,可知这一几率增加到了 65%,表明问题的存在相当广泛 —— 而且这还只是针对 GitHub 这一个代码托管平台的评估结论。

Charles McFarland 补充道:“在 GitHub 帮助下,我们获得了一个更大的数据集 —— 其中有 58 万 8840 个独特的存储库在其 Python 代码中包含了 import tarfile”。

3.jpg

手动验证的漏洞率高达 61%,Trellix 预估有超过 35 万个存储库易受该漏洞攻击的影响,且其中不乏帮助开发者更快完成项目的多款机器学习工具 —— 比如 GitHub Copilot 。

这款 AI 编程辅助工具依赖于来自数十万个存储库的代码,来提供便捷的“自动完成”编程体验。但若参考代码本身就不够安全,问题就会在不知不觉中传播到更多无辜的新项目中。

4.jpg

通过深入研究,Trellix 发现易受 CVE-2007-4559 漏洞攻击的开源代码,横跨了众多的行业。

如预期那样,开发部门(Development)首当其冲,其次是人工智能(AI)/ 机器学习(ML),以及 Web、安全、管理员工具等项目。

相关标签
 相关文章
王慧文病休53天,旗下OneFlow团队重新创业 1年以前  |  1次阅读
智己CEO现场怒怼!不满LS6和小鹏G6当对手 1年以前  |  1次阅读
董明珠回应落榜世界500强:总比爆雷的世界500强好 1年以前  |  1次阅读
阿里云上线 AI 视频生成工具 Live Portait:可一键让照片开口说话 1年以前  |  78次阅读
妙鸭相机将并入神力视界,阿里大文娱CTO郑勇:不是“搬家”是“回家” 1年以前  |  85次阅读
特斯拉上海超级工厂约40秒下线一台车,零部件本土化率超95% 1年以前  |  69次阅读
宁德时代发布神行超充电池,可实现充电10分钟行驶800里 1年以前  |  71次阅读
中科院博士被骗到缅甸已一年!女友:他负债几万,家里条件一般,以为去当翻译 1年以前  |  85次阅读
小鹏汽车否认收购玛莎拉蒂传闻:系谣言 1年以前  |  63次阅读
联想二季度净利润猛降66%,股价应声跳水 1年以前  |  80次阅读
业内人士:视觉中国对不同侵权主体采用差异化策略,老客由销售沟通新客发律师函 1年以前  |  70次阅读
恒大集团在美国申请破产保护 1年以前  |  56次阅读
劳斯莱斯首款纯电轿跑将在北美亮相 1年以前  |  89次阅读
realme印度前CEO确认加盟荣耀,即将推出手机新品 1年以前  |  88次阅读
OpenAI正在测试内容审核系统,一天可以完成六个月的工作 1年以前  |  80次阅读
谷歌百人“复仇者联盟”出击,将发对标GPT-4的大模型,26位研发主管名单流出 1年以前  |  77次阅读
OpenAI收购数字产品公司Global Illumination,为创立以来首笔公开收购 1年以前  |  80次阅读
海口规定:电动汽车充电服务费不得超过0.65元每度 1年以前  |  80次阅读
波音任命柳青为波音中国总裁 1年以前  |  88次阅读
业内人士谈图片复杂代理链:图片代理商越多摄影师分成越少 1年以前  |  67次阅读

扫一扫

在手机上阅读