15 июля 2026

eur = 88.53 0.95 (1.08 %)

btc = 64 456.00$ 1 966.39 (3.15 %)

eth = 1 863.86$ 83.81 (4.71 %)

gram = 1.61$ 0.02 (1.14 %)

usd = 77.49 0.87 (1.14 %)

eur = 88.53 0.95 (1.08 %)

btc = 64 456.00$ 1 966.39 (3.15 %)

В Python нашли не закрытую 15 лет назад уязвимость

1 минута на чтение
В Python нашли не закрытую 15 лет назад уязвимость

Читайте в Telegram

|

В Python так и не закрыли уязвимость, найденную ещё в 2007 году, утверждается в отчёте Trellix. Под ударом сейчас находится более 350 тысяч проектов с открытым исходным кодом.

Как пишет Bleeping Computer, в связи с тем, что ее не могли устранить так долго, она проникла в несколько сотен тысяч проектов, написанных на Python. Проблема CVE-2007-4559 была найдена в пакете tarfile и относится к типу path traversal (обход каталога), то есть позволяет злоумышленнику перезаписывать произвольные файлы.

В 2007 году уязвимость обнаружили, но не исправили, и единственным возможным решением проблемы сочли обновление документации, предупреждающее разработчиков о возможном риске.

На оставшуюся дыру обратили внимание специалисты компании Trellix, описывающие ее следующим образом:

Уязвимость существует из-за того, что код в функции extract в Python-модуле tarfile доверяет информации в объекте TarInfo.

Компания Trellix, специалисты которой и обнаружили уязвимость, создала свой инструмент под названием Creosote, помогающий искать CVE-2007-4559. Именно с его помощью исследователи нашли уязвимость в Spyder Python IDE и Polemarch. Кроме того, эксперты Trellix уже подготовили исправления более чем для 11 000 проектов. Исследователи ожидают, что более 70 000 репозиториев получат исправления в ближайшие несколько недель.

Обсудить
Блоги 728
Softline
OTP Bank
Слетать.ру
ЦНИС
ВКонтакте
StudyAI
билайн
Т-Банк
ВТБ
Газпромбанк

Привет, это Кодик! Я создан, чтобы помогать вам с  разными задачами. Задайте мне вопрос…