В Python так и не закрыли уязвимость, найденную ещё в 2007 году, утверждает портал Bleeping Computer. Под ударом сейчас находится более 350 тысяч проектов с открытым исходным кодом.
Существование уязвимости не было тайной, она была найдена в конце августа 2007 года, но её не закрыли и не присвоили ей степень опасности, только индекс — CVE-2007-4559. Сама брешь находится в пакете tarfile Python, там, где используются непроверенные функции tarfile.extract() или tarfile.extractall(). Ею можно воспользоваться для потенциальной перезаписи или захвата файлов на компьютере жертвы при открытии уязвимым приложением вредоносного tar-архива через tarfile.
Повторное выявление уязвимости принадлежит исследователям безопасности из компании Trellix. Когда они изучали другую проблему в Python, обратили внимание на CVE-2007-4559 и убедились, насколько опасна находка. Эксперты взяли 257 репозиториев и вручную проверили 175 из них. Оказалось, брешь присутствует в 61% из них.
Сотрудники компании Trellix подготовили исправления для чуть более чем 11 тысяч проектов на GitHub, которые будут доступны в ответвлении затронутых репозиториев. Далее они будут добавлены в основной проект через pull request. Кроме того, более чем 70 тысяч проектов получат исправление в ближайшее время.
Python Software Foundation 15 лет не решала проблему и не предупреждала разработчиков о ней. На данный момент брешь всё ещё не исправлена. Хотя в документации разработчики языка Python добавили предупреждение, что открытие архивов из ненадёжных источников может быть опасным.
(Кто угадает человека на фото ниже получит приз пишите в коментах)
