Уязвимост в езика Python просъществува 15 години, преди да се

Уязвимост в езика Python просъществува 15 години, преди да се вземат ограничения за затварянето ѝ (снимка: CC0 Public Domain)

В известния език за програмиране Python е открит бъг, който се крие в него от най-малко 15 години. Поради обстоятелството, че не може да бъде отстранен толкоз дълго, той е проникнал в няколкостотин хиляди плана, написани на Python, твърди обява на Bleeping Computer.

По предварителни данни, минимум 350 000 складове с отворен код са наранени. Колко стратегии със затворен код съдържат този минус остава да се види занапред. Проблемът се задълбочава и това, че Python е най-популярният език за програмиране в света. Милиони програмисти пишат на него.

Повече въпроси повдига фактът, че съществуването на тази накърнимост не е загадка за никого. Установена е още в края на август 2007 година, само че освен, че не е закрита, само че даже не е избрана степента ѝ на заплаха.

Уязвимостта е номериране с показател CVE-2007-4559. Тя се намира в пакета tarfile Python, в част от кода, който употребява нетестваните функционалности tarfile.extract() или tarfile.extractall(). Потенциално, може да се употребява за презаписване и захващане на файлове на компютъра на жертвата, когато уязвимо приложение отвори злоумишлен tar-архив посредством tarfile.

В продължение на 15 години разработчиците на Python, представлявани от Python Software Foundation, не са създали безусловно нищо, с цел да защитят потребителите на стратегии, в които е скрита уязвимостта. Те даже не са предизвестили разработчиците за казуса.
още по темата
В резултат на това никой просто не си спомня CVE-2007-4559 в продължение на десетилетие и половина, което, несъмнено, понижава в изнестна степен риска от експлоатиране на уязвимостта от киберпрестъпници.

За този 15-годишен бъг се заприказва при започване на 2022 година, по време на следствието на различен случай със сигурността, обвързван с Python. Но даже многократното отразяване на обстановката не накара разработчиците на езика да го поправят.

Е, най-сетне, след 15 години те въпреки всичко взеха решение да реагират на заплахата. Сега в документите на Python има предизвестие, че „ архивите от ненадеждни източници могат да бъдат рискови “. Очевидно разработчиците смятат работата си за свършена, защото в системата за следене на неточности на Python се появи известие, че са съумели да се оправят с CVE-2007-4559.

Уязвимостта CVE-2007-4559 беше разпознат от откриватели на Trellix по-рано тази година. Те изучаваха доста друг проблем в Python, само че се натъкнаха на различен рисков бъг.

За да дефинират същинския мащаб на бедствието, специалистите изследваха 257 складове, които съгласно техните догатки най-вероятно съдържат уязвим код. Те ревизираха ръчно 175 от тях и това към този момент беше задоволително – „ дупката “ присъстваше в 61% от хранилищата.

На втория стадий започва ръчна инспекция на останалите складове. В резултат на това общият брой планове, съдържащи CVE-2007-4559, се усили до 65%.

По-късно GitHub, услуга за предпазване на складове с отворен код, благосъстоятелност на Microsoft, се причисли към изследването на случая със сигурността в Python. „ С помощта на GitHub успяхме да получим доста по-голям набор от данни, в това число 588 840 неповторими складове, които включват import tarfil в своя Python код “, споделят от Trellix.

Общо, съгласно специалистите, минимум 350 хиляди плана в GitHub са инфектирани. Ситуацията може да бъде още по-лоша, защото доста от тези планове употребяват услугата GitHub CoPilot за своето образование, която оказва помощ на начинаещите програмисти да пишат код. Това значи, че CVE-2007-4559 в действителност може да се съдържа в доста по-голям брой планове.

В допълнение към привличането на вниманието към уязвимостта и обвързвания с нея риск, специалистите на Trellix също са подготвили корекции за малко над 11 000 плана в GitHub. Поправките ще бъдат налични в клон на засегнатите складове. По-късно те ще бъдат добавени към главния план посредством поръчки за евакуиране.

Изследователите считат, че повече от 70 хиляди плана ще получат промяна през идващите няколко седмици. Достигането на 100% не е лесна задача.