Une vulnérabilité découverte dans le langage de codage Python en 2007 pourrait être utilisée pour effectuer l'exécution de code dans plus de 350 000 projets.
Python Flaw est présent depuis quinze ans
Une faille non corrigée dans le Langage de programmation Python représente aujourd'hui une menace sérieuse pour des centaines de milliers de projets. La vulnérabilité, connue sous le nom de CVE-2007-4559, a été découverte il y a quinze ans mais était considérée comme à faible risque et n'a donc pas été corrigée (bien qu'un avertissement ait été émis aux développeurs concernant la faille).
La faille CVE-2007-4559 existe dans les fonctions « extract » et « extractall » du module tarfile de Python. Il s'agit d'un bogue de traversée de chemin, qui permet à des acteurs malveillants d'écraser des fichiers arbitraires en téléchargeant un fichier tar malveillant. Ce fichier tar peut ensuite être exécuté, donnant à l'acteur malveillant le contrôle d'un appareil donné.
Plus de 350 000 projets open source et fermés couvrant une gamme d'industries pourraient être exploités via une traversée de chemin arbitraire en utilisant la vulnérabilité CVE-2007-4559.
La vulnérabilité Python a été redécouverte en 2022
Cette vulnérabilité particulière de Python a été redécouverte au début de 2022 par le chercheur en vulnérabilité de Trellix, Kasimir Schulz, bien que cela ait été fait accidentellement alors qu'il enquêtait sur un autre problème de sécurité. Schulz a remis CVE-2007-4559 sous les projecteurs, même si on a d'abord pensé qu'il s'agissait d'un tout nouveau jour zéro défaut. Mais on a vite découvert qu'il s'agissait en fait de la faille Python de longue date découverte quinze ans auparavant.
Trellix a rapidement publié un tweet informant les gens de la faille et de sa menace pour les projets basés sur Python.
Après cette redécouverte, Trellix a créé des correctifs pour plus de 11 000 projets, bien que de nombreux autres projets devraient recevoir un correctif dans les semaines à venir. Trellix a également créé un outil gratuit, appelé Creosote, qui peut être utilisé pour rechercher la présence de la vulnérabilité du fichier tar CVE-2007-4559.
CVE-2007-4559 Encore à exploiter
Bien que cette faille du langage Python constitue une menace importante pour des milliers de projets, elle ne semble pas encore avoir été exploitée. Les chercheurs espèrent que les projets seront corrigés avant que des acteurs malveillants ne puissent exploiter la faille, bien que cela puisse prendre un certain temps, et la facilité d'exploitation de CVE-2007-4559 en fait un problème de chaîne d'approvisionnement potentiellement énorme.
Les vulnérabilités continuent de représenter une menace pour les individus et les organisations
Des vulnérabilités de sécurité sont constamment découvertes par des chercheurs et des analystes, les cybercriminels désireux de les exploiter avant de recevoir un correctif. Cela continuera d'être une préoccupation dans toutes les industries et entraînera probablement d'autres problèmes à l'avenir. Dans le cas de CVE-2007-4559, Trellix tient à fournir aux projets du code réparé dès que possible, afin que cette faille ne puisse pas être exploitée par des acteurs malveillants.
