15-летний Python-баг позволяет выполнить код и затрагивает 350 000 проектов

15-летний Python-баг позволяет выполнить код и затрагивает 350 000 проектов

15-летний Python-баг позволяет выполнить код и затрагивает 350 000 проектов

Уязвимость Python-модуля tarfile за 15 лет никто так и не пропатчил. А меж тем она затрагивает более 350 тысяч репозиториев с открытым исходным кодом и позволяет выполнить произвольный код.

Впервые о проблеме стало известно в 2007 году, ей присвоили идентификатор CVE-2007-4559. Интересно, что никто не стал устранять брешь, единственное — разработчиков просто предупредили о риске.

Брешь затрагивает код, использующий функцию tarfile.extract(). Это классический баг обхода пути (path traversal), позволяющий условному атакующему перезаписывать произвольные файлы.

Удивительно, что за все 15 лет не было сообщений об эксплуатации уязвимости, учитывая, что технические детали были доступны в отчете 2007 года. Тем не менее баг представляет опасность для цепочек поставки софта по моей день.

На оставшуюся дыру обратили внимание специалисты компании Trellix, описывающие ее следующим образом:

«Уязвимость существует из-за того, что код в функции extract в Python-модуле tarfile доверяет информации в объекте TarInfo».

Сообщение на площадке баг-трекера Python гласит, что вопрос был закрыт, поскольку документацию обновили, добавив приписку, что «распаковывать архивы из непроверенных источников может быть опасно».

Проанализировав масштаб проблемы, специалисты Trellix пришли к выводу, что уязвимость затрагивает более 350 тысяч проектов. В отчете исследователей описываются простые шаги, которых достаточно для эксплуатации CVE-2007-4559 в Windows-версии Spyder IDE.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Firefox для Android получил защиту DNS-over-HTTPS

Специалисты Mozilla реализовали поддержку технологии «DNS поверх HTTPS» в Android-версии браузера. После установки Firefox 143 опцию можно включить через настройки, выбрав режим повышенной защиты.

В настоящее время быстродействие новой функции безопасности мобильного браузера тестируют партнеры вендора — провайдеры DoH из США (Cloudflare, Comcast) и Канады. По итогам будет принято решение по вопросу дефолтной активации в ряде регионов.

До сих пор DoH-зашита была доступна только в десктопных Firefox. Поскольку ее применение может затормозить загрузку страниц в браузере, участники проекта уделяют много внимания производительности и уже повысили ее на 61%.

 

 

Преобразование адресов по запросам теперь происходит столь же быстро, как и без DNS-шифрования. Разница, по словам Mozilla, составляет всего пару миллисекунд.

Возможность повышения приватности за счет использования DoH предоставлена также пользователям Google Chrome, в том числе его версии для Android, — но лишь как опция, которая по умолчанию отключена.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru