Một lỗ hổng mã Python mười lăm tuổi gây ra mối đe dọa cho hơn 350.000 dự án.
Một lỗ hổng được phát hiện trong ngôn ngữ mã hóa Python vào năm 2007 có thể được sử dụng để thực thi mã trong hơn 350.000 dự án.
Python Flaw đã có mặt trong mười lăm năm
Một lỗ hổng chưa được vá trong ngôn ngữ lập trình Python hiện đang đặt ra mối đe dọa nghiêm trọng đối với hàng trăm nghìn dự án. Lỗ hổng, được gọi là CVE-2007-4559, được phát hiện cách đây 15 năm nhưng được coi là có nguy cơ thấp và do đó không được vá (mặc dù đã có cảnh báo cho các nhà phát triển về lỗ hổng này).
Lỗ hổng CVE-2007-4559 tồn tại trong các chức năng “giải nén” và “trích xuất” trong mô-đun tarfile của Python. Đây là một lỗi truyền qua đường dẫn, cho phép các tác nhân độc hại ghi đè các tệp tùy ý bằng cách tải lên tệp tarfile độc hại. Sau đó, tệp tarfile này có thể được thực thi, cho phép tác nhân độc hại kiểm soát một thiết bị nhất định.
Hơn 350.000 dự án mã nguồn mở và mã nguồn đóng trải dài trên nhiều ngành công nghiệp có thể bị khai thác thông qua đường dẫn tùy ý sử dụng lỗ hổng CVE-2007-4559.
Lỗ hổng trong Python đã được phát hiện lại vào năm 2022
Lỗ hổng Python đặc biệt này đã được phát hiện lại vào đầu năm 2022 bởi nhà nghiên cứu lỗ hổng Trellix, Kasimir Schulz, mặc dù điều này được thực hiện một cách tình cờ khi đang điều tra một vấn đề bảo mật khác. Schulz đã đưa CVE-2007-4559 trở lại tiêu điểm, mặc dù lần đầu tiên người ta cho rằng đó là một lỗ hổng zero-day hoàn toàn mới. Nhưng người ta nhanh chóng phát hiện ra rằng đây thực chất là lỗ hổng lâu đời của Python được phát hiện từ 15 năm trước.
Trellix đã nhanh chóng đưa ra một tweet thông báo cho mọi người về lỗ hổng và mối đe dọa của nó đối với các dự án dựa trên Python.
Sau phát hiện lại này, Trellix đã tạo các bản vá cho hơn 11.000 dự án, mặc dù nhiều dự án khác được cho là sẽ nhận được bản vá trong những tuần tới. Trellix cũng đã tạo ra một công cụ miễn phí, được gọi là Creosote, có thể được sử dụng để quét sự hiện diện của lỗ hổng CVE-2007-4559 tarfile.
CVE-2007-4559 Chưa được Khai thác
Mặc dù lỗ hổng ngôn ngữ Python này gây ra mối đe dọa đáng kể cho hàng nghìn dự án, nhưng nó dường như vẫn chưa được khai thác. Các nhà nghiên cứu hy vọng rằng các dự án sẽ được vá trước khi những kẻ xấu có thể khai thác lỗ hổng này, mặc dù điều này có thể mất một thời gian và việc CVE-2007-4559 dễ bị khai thác khiến nó trở thành một vấn đề tiềm ẩn trong chuỗi cung ứng.
Các lỗ hổng tiếp tục tạo ra mối đe dọa đối với các cá nhân và tổ chức xa lánh
Các lỗ hổng bảo mật liên tục được phát hiện bởi các nhà nghiên cứu và phân tích, với tội phạm mạng háo hức khai thác chúng trước khi chúng nhận được bản vá. Điều này sẽ tiếp tục là mối quan tâm của tất cả các ngành và có thể sẽ gây ra các vấn đề khác trong tương lai. Trong trường hợp của CVE-2007-4559, Trellix mong muốn cung cấp cho các dự án mã được sửa chữa càng sớm càng tốt, để lỗ hổng này không thể bị lạm dụng bởi các tác nhân độc hại.
