サイバーセキュリティ企業のTrellixは9月21日(現地時間)、プログラミング言語Pythonに、15年の間見過ごされてきた脆弱性が存在し、35万件のオープンソースプロジェクトとそれらを使用するアプリケーションが、危険にさらされていると発表しました(TechRepublic)。
今回は指摘された脆弱性CVE-2007-4559は、もともと2007年に発見されたものですがこれまで修正されておらず、リスクスコアは10点満点中6.8点と中程度に設定されています。
脆弱性はPythonのtarfileモジュールに存在し、このモジュールはPythonを使用する多くのプロジェクトで使用されていることから、影響は広範囲にわたるとTrellixは主張しています。
tarfileモジュールのextractまたはextractall関数へのパストラバーサル攻撃によって、攻撃者は任意のファイルを上書きすることができ、ほとんどの場合、攻撃者はファイルの書き込み後にコードを実行できることができるとのこと。以下の動画で実際に確認可能です
Trellixは、GitHubに公開されているオープンソースプロジェクトを調査し、35万件以上のGitHubリポジトリに脆弱性が存在すると指摘しています。同時にオープンソースプロジェクトを脆弱性から保護するために、GitHubのプルリクエストでコードをプッシュするための取り組みを進めています。
