2007. aastal Pythoni kodeerimiskeeles avastatud haavatavust saab kasutada koodi täitmiseks enam kui 350 000 projektis.
Pythoni viga on olnud viisteist aastat
Paigaldamata viga Pythoni programmeerimiskeel kujutab praegu tõsist ohtu sadadele tuhandetele projektidele. CVE-2007-4559 nime all tuntud haavatavus avastati viisteist aastat tagasi, kuid seda peeti madala riskitasemega ja seetõttu seda ei parandatud (ehkki arendajatele anti vea eest hoiatus).
CVE-2007-4559 viga esineb Pythoni tarfile'i mooduli funktsioonides "Extract" ja "Extractall". See on tee läbimise viga, mis võimaldab pahatahtlikel osalejatel suvalised failid üle kirjutada, laadides üles pahatahtliku tarfaili. Seejärel saab selle tarfiili käivitada, andes pahatahtlikule osalejale antud seadme üle kontrolli.
Rohkem kui 350 000 avatud ja suletud lähtekoodiga projekti, mis hõlmavad mitmesuguseid tööstusharusid, saab kasutada suvalise tee läbimise kaudu, kasutades haavatavust CVE-2007-4559.
Pythoni haavatavus taasavastati 2022. aastal
Selle konkreetse Pythoni haavatavuse avastas uuesti 2022. aasta alguses Trellixi haavatavuse uurija Kasimir Schulz, kuigi seda tehti kogemata teise turvaprobleemi uurimisel. Schulz tõi CVE-2007-4559 taas tähelepanu keskpunkti, kuigi algul arvati, et see on täiesti uus null-päev viga. Kuid peagi avastati, et see oli tegelikult pikaajaline Pythoni viga, mis avastati viisteist aastat tagasi.
Trellix tegi kiiresti säutsu, teavitades inimesi veast ja selle ohust Pythoni-põhistele projektidele.
Pärast seda taasavastamist lõi Trellix paigad enam kui 11 000 projekti jaoks, kuigi arvatakse, et lähinädalatel saavad plaastrid veel paljud projektid. Trellix on loonud ka tasuta tööriista nimega Creosote, mida saab kasutada tarfiili CVE-2007-4559 haavatavuse otsimiseks.
CVE-2007-4559 on veel kasutamata
Kuigi see Pythoni keeleviga kujutab endast märkimisväärset ohtu tuhandetele projektidele, tundub, et seda pole veel ära kasutatud. Teadlased loodavad, et projektid parandatakse enne, kui pahatahtlikud osalejad saavad viga ära kasutada, kuigi see võib juhtuda võtab veidi aega ja CVE-2007-4559 kasutamise lihtsus muudab selle potentsiaalselt tohutuks tarneahela probleemiks.
Haavatavus kujutab endast jätkuvalt ohtu nii üksikisikutele kui ka organisatsioonidele
Teadlased ja analüütikud avastavad pidevalt turvaauke ning küberkurjategijad soovivad neid enne paiga saamist ära kasutada. See on jätkuvalt murettekitav kõigis tööstusharudes ja põhjustab tulevikus tõenäoliselt täiendavaid probleeme. CVE-2007-4559 puhul soovib Trellix pakkuda projektidele võimalikult kiiresti parandatud koodi, et pahatahtlikud osalejad ei saaks seda viga kuritarvitada.
