Python programlama dilinde 15 yıldır gözden kaçan bir güvenlik açığı, büyük olasılıkla 350.000’den fazla açık kaynak deposunu etkiliyor. 2007’de açıklanan ve CVE-2007-4559 olarak etiketlenen güvenlik sorunu hala bir yama almadı; sağlanan tek destek, geliştiricileri risk hakkında uyaran bir belge güncellemesiydi.
Güvenlik açığı, temizlenmemiş tarfile.extract() işlevini veya yerleşik tarfile.extractall() varsayılanlarını kullanan kodda, Python tarfile paketindedir. CVE-2007-4559’un teknik ayrıntıları, ağustos 2007’deki ilk rapordan bu yana mevcut. Hatanın saldırılarda kullanılmasına dair herhangi bir rapor bulunmamakla birlikte, yazılım tedarik zincirinde bir risk teşkil ediyor.
Açık bu yılın başlarında, başka bir güvenlik sorununu araştıran bir araştırmacı tarafından yeniden keşfedildi. Açıklamadan bir haftadan kısa bir süre sonra, Python hata izleyicisindeki bir mesaj, sorunun kapatıldığını duyurdu ve düzeltme, belgeleri “güvenilmeyen kaynaklardan arşivleri çıkarmanın tehlikeli olabileceği” uyarısıyla güncelliyor.
Etkiyi analiz eden Trellix araştırmacıları, güvenlik açığının hem açık hem de kapalı kaynaklı binlerce yazılım projesinde mevcut olduğunu buldu. Araştırmacılar, savunmasız kodu içerme olasılığı daha yüksek olan 257 depodan oluşan bir kümeyi inceledi ve etkilenip etkilenmediklerini görmek için 175’ini manuel olarak kontrol etti. Bu, %61’inin savunmasız olduğunu ortaya çıkardı. Depoların geri kalanında otomatik bir kontrol yürütmek, etkilenen projelerin sayısını %65’e çıkararak yaygın bir soruna işaret ediyor.
Trellix, manuel olarak doğrulanan %61 güvenlik açığı oranını kullanarak, çoğu geliştiricilerin bir projeyi daha hızlı tamamlamasına yardımcı olan makine öğrenimi araçları (örn. GitHub Copilot) tarafından kullanılan 350.000’den fazla güvenlik açığı bulunan depo olduğunu tahmin ediyor. Bugünkü teknik blog yazısında, Trellix güvenlik açığı araştırmacısı Kasimir Schulz, bilimsel programlama için açık kaynaklı, platformlar arası entegre bir geliştirme ortamı olan Spyder IDE’nin Windows sürümünde CVE-2007-4559’dan yararlanmanın basit adımlarını açıkladı.
Araştırmacılar, güvenlik açığının Linux’ta da kullanılabileceğini gösterdi. Polemarch BT altyapı yönetimi hizmetinde bir testte dosya yazma işlemini yükseltmeyi ve kod yürütmeyi başardılar.