Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
 
News Disclaimer
 

Python: 15 Jahre alte Schwachstelle betrifft potenziell 350.000 Projekte

23.09.2022

zur Newsdatenbankhome

In einem Python-Modul hat das Cybersecurity-Unternehmen Trellix eine fünfzehn Jahre alte Schwachstelle entdeckt. Das tarfile-Modul, das auf die Verarbeitung von tar-Dateien ausgelegt ist, ist in den Methoden zum Entpacken für Directory-Traversal-Attacken anfällig.

Zunächst glaubten die Security-Forscher von Trellix, das Anfang 2022 aus der Zusammenführung von McAfee und FireEye entstanden ist, dass sie auf eine Zero-Day-Lücke gestoßen seien. Offenbar haben sie die Schwachstelle zufällig entdeckt, als sie eine davon unabhängige Vulnerability untersucht haben. Allerdings hat die vermeintlich neue Schwachstelle einen CVE-Eintrag (Common Vulnerabilities and Exposures), der auf das Jahr 2007 zurück geht.

Beim National Institute of Standards and Technology (NIST) ist die Directory-Traversal-Schwachstelle als CVE-2007-4559 aufgeführt. Die Funktionen extract und extractall in dem Modul tarfile sind betroffen.

Seit August 2007 existiert das Issue zu der Schwachstelle, nachdem ein Entwickler in einer Mail darauf aufmerksam gemacht hatte. Die verantwortlichen Developer kamen allerdings bereits nach zwei Tagen zu dem Schluss, dass es sich um kein Security-relevantes Problem handle:

"Nach reiflicher Überlegung und einer privaten Diskussion mit Martin glaube ich nicht mehr, dass wir ein Sicherheitsproblem haben. tarfile.py macht nichts verkehrt, sondern verhält sich entsprechend der pax-Definition und den Richtlinien zur Auflösung von Pfadnamen in POSIX. Ein bekannter oder möglicher praktischer Exploit existiert nicht."

Sie haben daraufhin den Bug geschlossen, ohne den Code zu ändern, fügten aber eine zusätzliche Warnung in die Dokumentation ein.

Laut Trellix sind es über 350.000 Open-Source-Projekte, und darüber hinaus sind Closed-Source-Projekte betroffen. Den Einsatz von tarfile, das Bestandteil der Standardmodule von Python ist, hat Trellix in Frameworks von Google, Netflix, AWS, Intel, Facebook und in Anwendungen für Machine Learning und Docker-Containerisierung gefunden.

Weitere Details zur Vulnerability finden sich in einem Blogbeitrag dazu.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE

 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89