خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

باگ 15 ساله وصله‌نشده پایتون امکان اجرای کد در بیش از 350 هزار پروژه را می‌دهد.

ارشیا یوسفی ادیب ۱ مهر, ۱۴۰۱ 2 min read

یک آسیب پذیری کد پانزده ساله پایتون بیش از 350000 پروژه را تهدید می کند.

یک آسیب‌پذیری که در سال 2007 در زبان کدنویسی پایتون کشف شد، می‌تواند برای اجرای کد در بیش از 350000 پروژه استفاده شود.

نقص پایتون پانزده سال است که وجود دارد

یک نقص بدون وصله در زبان برنامه نویسی پایتون اکنون صدها هزار پروژه را تهدید جدی می کند. این آسیب‌پذیری که با نام CVE-2007-4559 شناخته می‌شود، پانزده سال پیش کشف شد، اما کم خطر در نظر گرفته شد، و بنابراین اصلاح نشد (اگرچه هشداری در مورد این نقص به توسعه‌دهندگان داده شد).

نقص CVE-2007-4559 در توابع «extract» و «extractall» در ماژول tarfile پایتون وجود دارد. این یک باگ پیمایش مسیر است که به عوامل مخرب اجازه می‌دهد تا فایل‌های دلخواه را با آپلود یک فایل مخرب بازنویسی کنند. سپس این tarfile می تواند اجرا شود و به بازیگر مخرب کنترل دستگاه داده شده را می دهد.

بیش از 350000 پروژه منبع باز و بسته در طیف وسیعی از صنایع را می توان از طریق پیمایش مسیر دلخواه با استفاده از آسیب پذیری CVE-2007-4559 مورد بهره برداری قرار داد.

آسیب‌پذیری پایتون در سال ۲۰۲۲ دوباره کشف شد

لوگوی ترک خورده پایتون در پس زمینه مشکی

این آسیب‌پذیری خاص پایتون در اوایل سال 2022 توسط محقق آسیب‌پذیری Trellix، Kasimir Schulz دوباره کشف شد، اگرچه این به طور تصادفی در حین بررسی یک مشکل امنیتی دیگر انجام شد. شولز CVE-2007-4559 را دوباره در کانون توجه قرار داد، اگرچه ابتدا تصور می شد که این یک نقص کاملاً جدید در روز صفر است. اما به زودی کشف شد که این در واقع نقص دیرینه پایتون بود که پانزده سال قبل کشف شد.

مطلب مرتبط:   پلاگین های پیش فرض ChatGPT چیست و برای چه کاری می توانم از آنها استفاده کنم؟

Trellix به سرعت توییتی منتشر کرد و مردم را از نقص و تهدید آن برای پروژه‌های مبتنی بر پایتون آگاه کرد.

پس از این کشف مجدد، Trellix وصله‌هایی برای بیش از 11000 پروژه ایجاد کرد، اگرچه تصور می‌شود پروژه‌های بیشتری در هفته‌های آینده پچ دریافت کنند. Trellix همچنین یک ابزار رایگان به نام Creosote ایجاد کرده است که می تواند برای بررسی وجود آسیب پذیری CVE-2007-4559 tarfile استفاده شود.

CVE-2007-4559 هنوز مورد بهره برداری قرار نگرفته است

اگرچه این نقص زبان پایتون تهدیدی قابل توجه برای هزاران پروژه است، به نظر می رسد هنوز مورد سوء استفاده قرار نگرفته است. محققان امیدوارند که پروژه ها قبل از اینکه عوامل مخرب بتوانند از این نقص سوء استفاده کنند، اصلاح شوند، اگرچه ممکن است مدتی طول بکشد، و سهولت بهره برداری از CVE-2007-4559 آن را به یک مشکل بالقوه زنجیره تامین بزرگ تبدیل می کند.

آسیب پذیری ها همچنان تهدیدی برای افراد و سازمان ها هستند

آسیب پذیری های امنیتی به طور مداوم توسط محققان و تحلیلگران کشف می شود و مجرمان سایبری مشتاق هستند تا قبل از دریافت وصله از آنها سوء استفاده کنند. این موضوع همچنان یک نگرانی در تمام صنایع خواهد بود و احتمالاً در آینده باعث بروز مشکلات بیشتری خواهد شد. در مورد CVE-2007-4559، Trellix مشتاق است پروژه هایی را با کد تعمیر شده در اسرع وقت ارائه دهد تا این نقص توسط عوامل مخرب مورد سوء استفاده قرار نگیرد.

Tags: