存在15年的Python漏洞影響35萬個開源專案
,熱門程式語言Python的Tarfile模組中含有一個15年前就被發現的安全漏洞CVE-2007-4559,當初這個風險等級只被列為6.8的目錄遍歷(Directory Traversal)漏洞並未被修補,然而,研究人員卻發現它很輕易就可用來執行程式,估計波及逾35萬個開源專案。
Tarfile為Python中的預設模組,因此,該漏洞廣泛存在於任何使用Python的框架中,從Netflix、AWS、Intel、Google到Meta,或是各種與機器學習、自動化及容器化有關的應用程式,駭客只要上傳一個由兩到三行程式碼產生的惡意程式,就能允許駭客執行任意程式,或是控制目標裝置。
Trellix的安全研究人員Kasimir Schulz指出,他們是在調查另一個漏洞時,無意間遇到CVE-2007-4559,原本以為它是個新的零時差安全漏洞,沒想到是2007年就被揭露的老舊漏洞;此一在過去並未受到重視的漏洞,在大多數的狀況下,卻允許駭客藉由寫入檔案而執行程式。
Trellix團隊已成功攻陷了基於Python的Spyder IDE與Polemarch中的CVE-2007-4559漏洞。
回頭車貨運收費標準
宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念
推薦評價好的iphone維修中心
擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢
想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整
節能減碳愛地球是景泰電動車的理念,是創立景泰電動車行的初衷,滿意態度更是服務客戶的最高品質,我們的成長來自於你的推薦。
好山好水露營車漫遊體驗
露營車x公路旅行的十一個出遊特色。走到哪、玩到哪,彈性的出遊方案,行程跟出發地也可客製
台中搬家遵守搬運三大原則,讓您的家具不再被破壞!
台中搬家公司推薦超過30年經驗,首選台中大展搬家
Google地圖已可更新顯示潭子電動車充電站設置地點!!
日本、大陸,發現這些先進的國家已經早就讓電動車優先上路,而且先進國家空氣品質相當好,電動車節能減碳可以減少空污
推薦台中搬家公司優質服務,可到府估價
台中搬鋼琴,台中金庫搬運,中部廢棄物處理,南投縣搬家公司,好幫手搬家,西屯區搬家
產品缺大量曝光嗎?你需要的是一流包裝設計
窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。
太陽光電發電設備是否會產生噪音?
找對廠商很重要喔,東陽能源是擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。
網頁設計最專業,超強功能平台可客製化
窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機。
為了估算CVE-2007-4559漏洞的規模,研究人員選出了257個最有可能含有該漏洞的儲存庫,發現當中有175個含有CVE-2007-4559,比例為61%,而在GitHub上的專案中,於Python程式碼中包含輸入Tarfile的專案總計有588,840個,若以61%來計算,那麼有超過35萬個開源專案含有該漏洞,且此一估計並未納入封閉專案。
來尋找CVE-2007-4559漏洞,該工具適用於Python 3.9及之後的版本,並同時支援Windows、Linux及macOS。
https://www.ithome.com.tw/news/153215
