Kısaca: Python programlama dili, programcıların bir süredir bildiği güvenlik sorunlarından etkileniyor. Trellix araştırmacıları kısa süre önce yüz binlerce yazılım projesinin riskini vurgulayan ve on binlercesi için yamalar oluşturan bir hatayı yeniden keşfetti.
Dünyanın en popüler programlama dillerinden biri olan Python, programlar ve açık kaynak yazılım tedarik zinciri için hem bir fırsat hem de bir risktir. Örnek olay: Araştırmacılar, Python’da 15 yıldır gizlenmiş bir güvenlik açığını yeniden keşfediyor. Hata, en azından Python geliştiricilerine göre “tasarıma göre çalışır”; diğerleri aksini düşünüyor ve etkilenen projelere bir yama sağlamaya çalışıyor.
İlk olarak 2007’de keşfedildi ve şu şekilde listelendi: CVE-2007-4559güvenlik açığı şurada bulunur: tar dosyası modülü Python programları tarafından Tar arşivlerini okumak ve yazmak için kullanılır. Sorun, sistemdeki rastgele dosyaların üzerine yazmak için kullanılabilecek ve dolayısıyla olası bir kötü amaçlı kodun yürütülmesine yol açabilecek bir hata yolu geçişidir.
Beri Ilk rapor 15 yıl önce yayınlanan tarfile güvenlik açığı herhangi bir düzeltme ya da onarıcı yama almadı – yalnızca mevcut risk hakkında bir uyarı. Adil olmak gerekirse, CVE-2007-4559’dan yararlanabilecek saldırılar ve güvenlik tehditleri hakkında herhangi bir rapor bulunmamaktadır.
Ancak, son zamanlarda kusur hakkında bir hatırlatma Trellix tarafından yayınlandı. Araştırmacılar, ilgisiz bir güvenlik açığını araştırırken tarfile modülündeki eski bir hataya rastladıklarını söyledi.
https://www.youtube.com/watch?v=jqs8S51_TR
Konu üzerinde tartışılırken Python hata izleyicisi, geliştiriciler bir kez daha CVE-2007-4559’un bir hata olmadığı sonucuna vardılar: “tarfile.py yanlış bir şey yapmaz,” dedi geliştiriciler ve “bilinen veya olası hiçbir pratik istismar yok.” Python resmi belgeleri, güvenilmeyen kaynaklardan arşivlerin çıkarılmasıyla ilgili olası tehlike hakkında bir uyarı ile bir kez daha güncellendi.
Ancak Trellix araştırmacıları bu konuda tamamen farklı bir görüşe sahipler: CVE-2007-4559 gerçekten de bir güvenlik açığıdır, dediler. Kanıt olarak, araştırmacılar, bilimsel programlama için Spyder geliştirme ortamındaki kusurdan yararlanan basit bir istismarı tanımladılar ve sergilediler.
Trellix, hem kapalı hem de açık kaynaklı projeleri analiz ederek CVE-2007-4559’un yaygınlığını da inceledi. Başlangıçta 257 farklı kod deposunda yüzde 61’lik bir güvenlik açığı oranı buldular, otomatik bir kontrolden sonra yüzdeyi yüzde 65’e çıkardılar ve sonunda GitHub’da barındırılan 588.840 benzersiz depodan oluşan daha büyük bir veri kümesini analiz ettiler.
Her şey düşünüldüğünde, Trellix, CVE-2007-4559’a karşı savunmasız 350.000’den fazla proje olabileceğini ve bu projelerin birçoğunun geliştiricilerin bir projeyi daha hızlı tamamlamasına yardımcı olmak için makine öğrenimi araçları tarafından kullanıldığını tahmin ediyor. Konuyla ilgili bir duruş sergileyen araştırmacılar, şimdiden yaklaşık 11.000 proje için yamalar oluşturdular ve önümüzdeki haftalarda daha pek çoğu bunu takip edecek.
Kaynak : https://www.techspot.com/news/96070-python-affected-15-year-old-bug-keeps-giving.html