​速查！Python某漏洞15年未修，影响35万余个项目

据The Hacker News 9月22日报道，Python模块中存在一个长达15年未修复的安全漏洞，可能导致35万余个开源项目被利用，涉及人工智能/机器学习、网络开发、媒体、安全、IT管理等多个领域。

该漏洞被追踪为CVE-2007-4559（CVSS评分：6.8），根植于tarfile模块，可能导致任意文件写入的代码执行。它最初披露于2007年8月，该漏洞利用一个特别制作的tar存档，打开文件后可覆盖目标机器上的任意文件。

“该漏洞是tarfile模块中的extract和extractall函数中的路径遍历攻击，允许攻击者通过在TAR档案中的文件名中添加‘..’序列来覆盖任意文件。”Trellix的安全研究员Kasimir Schulz在一篇文章中说。

简单地说，威胁者可以利用这个弱点上传恶意tarfile，使其有可能逃脱文件被提取到的目录，并实现代码执行，从而使对手有可能夺取对目标设备的控制。

“在没有事先检查的情况下，千万不要从未知来源提取档案，"tarfile 的 Python 文档中写道。“有可能文件是在路径之外创建的，例如，具有以‘/’开头的绝对文件名或以两个点‘..’开头的文件。”

Trellix发布了一个名为Creosote的自定义工具，用于扫描易受CVE-2007-4559影响的项目，用它来发现Spyder Python IDE以及Polemarch的漏洞。研究人员指出：“如果不检查，这个漏洞就会被无意中添加到全球数十万个开源和闭源项目中，从而形成一个实质性的软件供应链攻击面。”

该漏洞让人联想到最近披露的RARlab的UnRAR工具（CVE-2022-30333）的安全漏洞，可能导致远程代码执行。

参考链接：

https://thehackernews.com/2022/09/15-year-old-unpatched-python.html