Plus de 350 000 projets Python open source sont menacés par une vulnérabilité connue depuis 15 ans.

Grâce à une vulnérabilité vieille de 15 ans dans le package Python »fichier tar« Les attaquants peuvent écraser les fichiers de plus de 350 000 projets open source. En conséquence, cependant, de nombreux projets de sources fermées sont également concernés. Les chercheurs en sécurité de Trellix recommandent aux développeurs de corriger la vulnérabilité dès que possible.

Une vulnérabilité Python vieille de 15 ans permet aux attaquants d’écraser des fichiers

Une vulnérabilité vieille de 15 ans dans Python laisse actuellement plus de 350 000 projets open source et d’innombrables autres projets open source vulnérables. La vulnérabilité CVE-2007-4559, connue depuis 2007, permet aux attaquants d’exécuter du code malveillant en écrasant des fichiers. La seule atténuation consistait à l’origine en une documentation mise à jour destinée à avertir les développeurs du risque « Extraire des archives de sources non fiables“.

Alors qu’ils enquêtaient sur un autre problème de sécurité, les chercheurs de la société de sécurité informatique Trellix, issue de la fusion de McAfee Enterprise et FireEye, ont redécouvert la vulnérabilité poussiéreuse. Selon BleepingComputer, l’exploitation active de la vulnérabilité dans Python est actuellement inconnue. Cependant, le fait que cela soit documenté depuis 15 ans ne rend pas l’incident moins explosif et fait peser un risque majeur dans la chaîne d’approvisionnement du logiciel.

Le paquet Python »fichier tar» est au cœur de la vulnérabilité

Par un dans le paquet”fichier tar” erreur qu’il contient, tout fichier peut être écrasé par une personne non autorisée. Le chercheur de Trellix, Kasimir Schulz, a partagé plus de détails sur l’exploitation de la vulnérabilité Python dans un article de blog. Il fournit également une vidéo montrant comment CVE-2007-4559 peut être exploité dans la version Windows de l’IDE Spyder.

Mais il existe également une vidéo correspondante pour tous les amis de Linux, dans laquelle le chercheur Polemarch, un service de gestion d’infrastructure informatique qui fonctionne sur Linux et Docker, vise.

Plus de 350 000 projets open source et de nombreux autres projets sont concernés

De nombreux projets open source et fermés basés sur Python sont affectés par la vulnérabilité. Dans une analyse aléatoire de 257 référentiels, les chercheurs en sécurité de Trellix ont découvert que 61 % d’entre eux étaient vulnérables à la vulnérabilité. En travaillant avec GitHub, l’équipe a également pu trouver 588 840 référentiels uniques contenant la déclaration « importer un fichier tar » contenir. Combiné avec le taux de vulnérabilité calculé de 61%, les chercheurs concluent que plus de 350 000 de ces projets sont potentiellement vulnérables.

En particulier, les outils d’apprentissage automatique hautement automatisés seraient particulièrement vulnérables, car ils s’appuient souvent sur le code source de milliers d’autres référentiels. Si un seul est affecté, le problème finit par se propager à travers d’innombrables autres projets.

Pour plus de 11 000 projets Python, Trellix a déjà fourni des correctifs pour la vulnérabilité dans le cadre d’un fork des référentiels concernés. Les chercheurs s’attendent à des corrections pour plus de 70 000 projets logiciels dans les semaines à venir. Mais selon BleepingComputer, il sera difficile d’atteindre la barre des 100 %. Après tout, les responsables doivent également accepter les demandes de fusion associées.