Подписывайтесь на «Что к чему» —
анамнез и главные симптомы беларуского ИТ.
Цифры, графика, ничего лишнего. Выходит раз в 2 недели.
Спасибо! На указанный адрес отправлено письмо для подтверждения подписки.
Senior DevOps ($5-8k), Back-End и Front-End — вакансии Cycode, Варшава

Гигантская 15-летняя брешь в Python затрагивает сотни тысяч проектов

В языке программирования Python найдена брешь, которая закралась в него ещё в 2007 году. Разработчики знали о ней все 15 лет, но так и не смогли устранить, ограничившись лишь предупреждением в документации. По предварительным данным, за это время брешь проникла в сотни тысяч репозиториев с открытым исходным кодом, а число затронутых ею проприетарных программ ещё предстоит выяснить, пишет Bleeping Computer.

Оставить комментарий
Гигантская 15-летняя брешь в Python затрагивает сотни тысяч проектов

В языке программирования Python найдена брешь, которая закралась в него ещё в 2007 году. Разработчики знали о ней все 15 лет, но так и не смогли устранить, ограничившись лишь предупреждением в документации. По предварительным данным, за это время брешь проникла в сотни тысяч репозиториев с открытым исходным кодом, а число затронутых ею проприетарных программ ещё предстоит выяснить, пишет Bleeping Computer.

Проблема усугубляется тем, что Python — самый популярный язык программирования в мире, и на нём пишут миллионы программистов. Python уже год удерживает лидерство в рейтинге TIOBE, который возглавил в прошлом октябре.

Уязвимость выявили в конце августа 2007 года, но не только не закрыли, но даже не присвоили ей степень опасности. Пока что у неё имеется лишь факт существования и индекс CVE-2007-4559.

Уязвимость находится в пакете tarfile Python в части кода, где используются непроверенные функции tarfile.extract () или tarfile.extractall (). Она позволяет перезаписывать и захватывать файлы на компьютере жертвы, когда уязвимое приложение открывает вредоносный tar-архив через tarfile.

За 15 лет разработчики Python из Python Software Foundation не предприняли ничего, чтобы обезопасить пользователей программ, в которых прячется уязвимость, а также решили не предупреждать разработчиков о проблеме.

Топ языков программирования по версии IEEE в 2022 году
Топ языков программирования по версии IEEE в 2022 году
По теме
Топ языков программирования по версии IEEE в 2022 году

В течение полутора десятка лет о CVE-2007-4559 никто не вспоминал, что немного снижало риск её эксплуатации киберпреступниками. Уязвимость снова всплыла в начале 2022 года в ходе расследования другого инцидента безопасности, связанного с Python. Но даже повторное освещение не побудило разработчиков языка исправить её.

Однако теперь в документации к Python есть предупреждение, что «открытие архивов из ненадёжных источников может быть опасным», а в системе отслеживания ошибок Python появилось уведомление, что разработчики разобрались с CVE-2007-4559.

В этом году брешь обнаружили исследователи компании Trellix, когда изучали совсем другую проблему в Python. Чтобы оценить опасность своей находки, эксперты взяли 257 репозиториев, которые, по их предположению, с наибольшей вероятностью могли содержать уязвимый код, и проверили вручную. «Дыра» присутствовала в 65% из них.

В дальнейшем к изучению проблемы подключился GitHub. «С помощью GitHub мы получили гораздо больший набор данных, включающий 588840 уникальных репозиториев, в Python-коде которых содержится import tarfil», — сообщили представители Trellix.

Как оплачиваются самые популярные языки GitHub и какой прогноз
Как оплачиваются самые популярные языки GitHub и какой прогноз
По теме
Как оплачиваются самые популярные языки GitHub и какой прогноз

В общей сложности, по подсчётам экспертов, заражёнными оказались минимум 350 тысяч проектов на GitHub. На деле ситуация может быть ещё хуже, поскольку многие из этих проектов использовались для обучения сервиса GitHub CoPilot, который даёт программистам подсказки при написании кода.

В Trellix также подготовили исправления для чуть более 11 тысяч проектов на GitHub — они будут доступны в ответвлении затронутых репозиториев и добавлены в основной проект через пулреквесты. Исследователи полагают, что более 70 тысяч проектов получат исправление в ближайшие несколько недель, но достичь 100%-ного охвата может быть проблематично.

Подписывайтесь на «Что к чему» —
анамнез и главные симптомы беларуского ИТ.
Цифры, графика, ничего лишнего. Выходит раз в 2 недели.
Спасибо! На указанный адрес отправлено письмо для подтверждения подписки.
Читайте также
Microsoft запустила обучающий сайт по Java
Microsoft запустила обучающий сайт по Java
Microsoft запустила обучающий сайт по Java
Топ языков программирования по версии IEEE в 2022 году
Топ языков программирования по версии IEEE в 2022 году
Топ языков программирования по версии IEEE в 2022 году
Как оплачиваются самые популярные языки GitHub и какой прогноз
Как оплачиваются самые популярные языки GitHub и какой прогноз
Как оплачиваются самые популярные языки GitHub и какой прогноз
10 курсов по ABAP — языку программирования, который использует SAP
10 курсов по ABAP — языку программирования, который использует SAP
10 курсов по ABAP — языку программирования, который использует SAP
ABAP (Advanced Business Application Programming) — это язык программирования, который использует компания SAP — один из главных поставщиков программного обеспечения по всему миру. Среди клиентов компании — Apple, Amazon, Colgate-Palmolive, Cisco, Dell, Airbus, DHL, Walmart, Ernst and Young и сотни других. Вообще SAP используют около 90% компаний из списка Fortune-500. И еще, например, NHL. ABAP написан в далеком 1980 году и за последние 40 лет все-равно остается актуальным и востребованным. У разработчиков на ABAP стабильно высокие зарплаты. Поэтому мы решили собрать список из 10 курсов по ABAP, которые стоит пройти для лучшего понимания языка или вообще для выбора его как своей профессии.
2 комментария

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.