13 подписчиков

⚡️В Python найдена 15-летняя брешь, которую не исправляли до сегодняшних дней

Уязвимость выявили еще в конце августа 2007 г., но не только не закрыли, но даже не присвоили ей степень опасности. Пока все, что у нее имеется – это лишь факт существования и индекс CVE-2007-4559.

Уязвимость находится в пакете tarfile Python, в части кода, где используются непроверенные функции tarfile.extract() или tarfile.extractall(). Брешь можно использовать для потенциальной перезаписи и захвата файлов на компьютере жертвы, когда уязвимое приложение открывает вредоносный tar-архив через tarfile.

По предварительным данным, пострадало как минимум 350 тыс. репозиториев с открытым исходным кодом. Как много программ с закрытыми исходниками содержат данную уязвимость, еще предстоит выяснить.

Около минуты

22 сентября 2022