Ha resurgido una vulnerabilidad de seguridad de Python sin parches bastante antigua, lo que ha provocado que los investigadores adviertan que cientos de miles de proyectos podrían ser vulnerables a la ejecución de código.
Los investigadores de ciberseguridad de Trellix detectaron recientemente (se abre en una pestaña nueva) CVE-2007-4559, una falla en el paquete tarfile de Python, descubierta por primera vez en 2007.
Sin embargo, en ese momento, la falla nunca recibió un parche, sino una advertencia publicada en un boletín de seguridad.
Identificar proyectos vulnerables
La vulnerabilidad se encuentra en el código que utiliza la función tarfile.extract() sin desinfectar o los valores predeterminados integrados de tarfileextractall(). "Este es un error de recorrido de ruta que permite a un atacante sobrescribir archivos arbitrarios", escribió la publicación.
Ahora, dicen los investigadores, la falla le da acceso al sistema de archivos a un mal actor. El rastreador de errores de Python se actualizó con el anuncio de un problema solucionado, con una adición adicional que indica que "podría ser peligroso extraer archivos de fuentes no confiables". Se puede abusar de la falla tanto en Windows como en Linux, se dijo.
Quince años es mucho tiempo y aparentemente unos 350.000 proyectos podrían ser vulnerables. Los investigadores de Trellix primero tomaron una muestra de 257 (61 %) repositorios vulnerables. Un análisis automatizado arrojó una tasa positiva del 65 %.
Luego, utilizando GitHub, los investigadores de Trellix encontraron 588 840 repositorios únicos que incluyen "importar archivo tar" en su código Python, lo que los llevó a concluir que 350 000 (o alrededor del 61 %) podrían ser vulnerables.
El problema está presente en un "gran número" de industrias, descubrieron además los investigadores. El sector del desarrollo (opens in a new tab) es, como era de esperar, el más afectado, seguido de las tecnologías web y de aprendizaje automático.
Los investigadores de Trellix han lanzado parches para unos 11.000 proyectos, disponibles como bifurcaciones del repositorio afectado. Estas correcciones se agregarán al proyecto principal a través de una solicitud de extracción en una fecha posterior, se agregó. Se espera que otros 70.000 proyectos reciban sus parches en unas pocas semanas, pero solucionarlos todos llevará algún tiempo.