Groźna 15-letnia podatność w Pythonie wciąż bez łatki

Niedobre wieści płyną do nas z Trellix Advanced Research Center. Analitycy tej firmy odnaleźli w Pythonie nowy wariant podatności CVE-2007-4559, która sklasyfikowana jest według CVSS 2.0 „tylko” jako średnio groźna (6,8), lecz nie to budzi największe obawy. Znaczie poważniejszy problem stanowi to, że luka od 15 lat pozostaje niezałatana i wykorzystać można ją w przypadku ok. 350 tys. pythonowych projektów dostępnych na GitHubie.

15-letnia groźna luka w Pythonie

CVE-2007-4559 to podatność typu Path Traversal, a zatem umożliwia napastnikowi uzyskanie nieautoryzowanego dostępu do plików i katalogów. Konkretniej rzecz ujmując, za sprawą nieodpowiedniego działania funkcji extract i exctractall w module pozwalającym na obsługę plików TAR (paczka tarfile), atakujący może nadpisać dowolny plik. Jedyne co musi zrobić, to dopisać dwie kropki do nazwy archiwum.

Problemem jest nie tylko relatywnie niewielka złożoność procesu wykorzystania podatności ataku oraz tego, że luka wciąż nie została załatana, ale wspomniany już zasięg szacowany na około 350 tys. przedsięwzięć. Osobną kwestię stanowi faktyczne zagrożenie dla cyberbezpieczeństwa, które może znacząco wykraczać poza ustalone 6,8 w skali CVSS 2.0.

CVE-2007-4559 wciąż bez łatki

Eksperci z Trellix Advanced Research Center zwracają bowiem uwagę, że nie CVE-2007-4559 nie została jak dotąd oficjalnie sklasyfikowana według CVSS 3, udało im się natomiast potwierdzić, że kombinacyjny atak wykorzystujący podatność jako powierzchnię może nawet doprowadzić do zdalnego wykonania kodu. Dla setek tysięcy programów czy bibliotek Pythona zagrożenie jest więc bardzo poważne.

Oryginalna podatność została po raz pierwszy dostrzeżona jeszcze w 2007 roku i należy zakładać, że na szwank narażone jest bezpieczeństwo wszystkich wersji Pythona. O sprawie poinformowana została już Python Foundation, lecz jak dotąd nie udostępniono ani łatki zabezpieczającej CVE-2007-4559, ani zaleceń pozwalających na minimalizację ryzyka.