Uraltlücke auf Python bedroht über 350'000 Projekte

22. September 2022, 12:46
  • security
  • Python
  • developer
  • programmiersprache
image
Foto: Hitesh Choudhary / Unsplash

Eine seit 2007 bekannte Schwachstelle ermöglicht in quelloffenen wie Closed-Source-Projekten die Ausführung von Schadcode durch Überschreiben von Dateien.

In Python sollen derzeit mehr als 350'000 quelloffene und unzählige weitere Closed-Source-Projekte angreifbar sein. Die Schwachstelle ist bereits seit 2007 als CVE-2007-4559 bekannt und erlaubt Angreifern die Ausführung von schadhaftem Code durch das Überschreiben von Dateien. Das ist unter anderem einem Bericht auf 'The Register' zu entnehmen. Nach 15 Jahren im Schlummermodus sei die Lücke jetzt durch Security-Experten der Firma Trellix wieder an die Öffentlichkeit gezogen worden.
Sie seien auf eine Schwachstelle im "tarfile"-Modul von Python gestossen, mit dem sich komprimierte Dateien lesen und schreiben lassen. Zunächst glaubte man zwar eine Zero-Day-Lücke gefunden zu haben, doch zeigte sich dann, dass die Schwachstelle schon am 24. August 2007 in einem Beitrag von Jan Matejek, dem damaligen Python-Paketbetreuer bei Suse, auf der Python-Mailingliste publiziert worden war. Durch einen im Paket "tarfile" enthaltenen Fehler lassen sich demnach beliebige Dateien von einer unbefugten Person überschreiben. Details zur Ausnutzung der Sicherheitslücke teilte der Trellix-Forscher Kasimir Schulz in einem Blog-Beitrag mit.
Von einer Ausnutzung der Lücke in der Programmiersprache des Jahres 2021 im Ranking von Tiobe ist laut einem Bericht auf 'Bleeping Computer' bisher zwar nichts bekannt. Doch auch wenn eine Schwachstelle schon so lange bekannt sei, verringere sich deswegen nicht das damit einhergehende Risiko.
Jedenfalls hat Trellix laut dem Bericht bei einer Untersuchung von 257 Repositorys herausgefunden, dass 61% davon durch die Schwachstelle verwundbar waren. Gemeinsam mit Github habe das Trellix-Team zudem 588'840 Repositorys ausfindig gemacht, die die Anweisung "import tarfile" enthalten. Insgesamt, so die Sicherheitsspezialisten, seien somit mehr als 350'000 dieser Projekte angreifbar.
Weiter heisst es bei 'Bleeping Computer', dass insbesondere hochautomatisierte Tools für maschinelles Lernen gefährdet seien, da sie oft den Code Tausender von Repositorys nutzen. Weise nur eins die Lücke auf, verteile sich das Problem auf zahlreiche weitere Projekte. Trellix habe inzwischen für mehr als 11'000 Python-Projekte Patches bereitgestellt, weitere sollen folgen. Angesichts der grossen Anzahl betroffener Repositorys sein eine 100-prozentige Korrektur aber kaum zu erreichen.

Loading

Mehr zum Thema

image

Geotech: Huaweis "eiserne Armee" in der Defensive

Huawei-CEO Zhengfei spricht von einem Überlebenskampf, während der internationale Druck zunimmt. Wir haben bei Huawei Schweiz nach Transparenzbemühungen und Geschäftsgang gefragt.

publiziert am 27.9.2022 2
image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022
image

Nach Angriff warnt Revolut vor Phishing-Kampagne

Bei einem Cyberangriff auf das Fintech-Unternehmen sollen sich Hacker Zugang zu zehntausenden Kundendaten verschafft haben. Revolut bestätigt den Abfluss von Daten.

publiziert am 22.9.2022