Em resumo: A linguagem de programação Python está sendo impactada por problemas de segurança que os programadores conhecem há algum tempo. Pesquisadores da Trellix redescobriram recentemente um bug, destacando o risco para centenas de milhares de projetos de software e criando patches para dezenas de milhares deles.
Sendo uma das linguagens de programação mais populares do mundo, o Python é uma oportunidade e um risco para os programas e a cadeia de suprimentos de software de código aberto. Caso em questão: pesquisadores estão redescobrindo uma vulnerabilidade de segurança escondida no Python há 15 anos. O bug “funciona por design”, pelo menos de acordo com os desenvolvedores do Python; outros pensam o contrário e estão trabalhando para fornecer um patch aos projetos afetados.
Descoberta pela primeira vez em 2007 e listada como CVE-2007-4559, a vulnerabilidade está localizada no módulo tarfile que é usado por programas Python para ler e escrever arquivos Tar. O problema é um caminho percorrido de bug que pode ser explorado para sobrescrever arquivos arbitrários no sistema, levando a uma possível execução de código malicioso.
Desde o relatório inicial publicado 15 anos atrás, a vulnerabilidade do tarfile não recebeu nenhuma correção ou correção – apenas um aviso sobre o risco existente. Para ser justo, não houve relatos sobre ataques e ameaças de segurança capazes de explorar CVE-2007-4559.
No entanto, um lembrete sobre a falha foi publicado recentemente pela Trellix . Ao investigar uma vulnerabilidade não relacionada, os pesquisadores disseram que se depararam com o antigo bug no módulo tarfile.
Ao discutir o problema no rastreador de bugs do Python, os desenvolvedores mais uma vez concluíram que o CVE-2007-4559 não é um bug: “tarfile.py faz nada de errado”, disseram os desenvolvedores, e não há “nenhuma exploração prática conhecida ou possível”. A documentação oficial do Python foi atualizada mais uma vez, com um aviso sobre o possível perigo relacionado à extração de arquivos de fontes não confiáveis.
Os pesquisadores do Trellix, entretanto, têm uma visão completamente diferente sobre a questão: CVE-2007-4559 é de fato uma vulnerabilidade de segurança, eles disseram. Como prova, os pesquisadores descreveram e demonstraram uma simples exploração aproveitando a falha com o ambiente de desenvolvimento Spyder para programação científica. , analisando projetos de código aberto e fechado. Eles encontraram inicialmente uma taxa de vulnerabilidade de 61% em 257 repositórios de código diferentes, aumentando a porcentagem para 65% após uma verificação automatizada e, finalmente, analisando um conjunto de dados maior de 588.840 repositórios exclusivos hospedados no GitHub.
Considerando tudo, a Trellix estima que pode haver mais de 350.000 projetos vulneráveis ao CVE-2007-4559, com muitos desses projetos sendo usados por ferramentas de aprendizado de máquina para ajudar os desenvolvedores a concluir um projeto mais rapidamente. Tomando uma posição sobre o assunto, os pesquisadores já criaram patches para cerca de 11.000 projetos e muitos outros devem seguir nas próximas semanas.
