最大 350,000 のオープン ソース プロジェクトが 15 年前の Python バグの影響を受ける

Trellix と GitHub の研究者は、これまでに影響を受けた 62,000 近くのプロジェクトにパッチを適用しました

プロ

画像: Bigstock via Future


15 年前の Python の脆弱性が、その存続期間中に何百万ものオープン ソース プロジェクトに影響を与えたことが判明しました。

CVE-2007-4559 として追跡されているこの脆弱性は、Python tarfile モジュールにある抽出関数と抽出関数でのパス トラバーサル攻撃です。 Trellix の研究者は、悪用された場合、攻撃者が TAR アーカイブ内の任意のファイルを上書きできる可能性があると警告しています。

Trellix 氏によると、研究者は当初、この脆弱性に遭遇した時点で新しいゼロデイ脆弱性を発見したと考えていました。 しかし、昨年のその後の調査で、それは 2007 年にさかのぼることが判明しました。

広告

当時、このバグは重要性が低いと見なされていました。 ただし、Trellix は、350,000 を超えるオープン ソース プロジェクトと、公開されていない数のクローズド ソース プロジェクトに存在することが判明したと警告しています。

「昨年末、Trellix Advanced Research Center チームは Python の tarfile モジュールの脆弱性を発見しました。 詳細を調べたところ、これが CVE-2007-4559 であることがわかりました。これは、攻撃者が任意のファイルを上書きできるようになる可能性のある 15 年前のパス トラバーサルの脆弱性です」と、Trellix の脆弱性調査担当ディレクターである Douglas McKee 氏は述べています。

「CVE-2007-4559 は 2007 年に Python プロジェクトに報告され、チェックされずに放置され、推定 350,000 のオープン ソース プロジェクトに意図せずに追加され、クローズド ソース プロジェクトで蔓延していました。」

McKee 氏は、この脆弱性は「多くのプロジェクトのサプライ チェーンにしっかりと埋め込まれており」、依然として蔓延していると付け加えました。

Python のバグは、Google、Intel、および Amazon Web Services (AWS) によって作成されたフレームワークに存在していたと考えられており、その存続期間と潜在的な重大なリスクの両方が強調されています。
GitHub コラボレーション

バグの発見以来、Trellix は GitHub と広範囲に協力して修正を発行したと述べた。

ほぼ 62,000 のオープン ソース プロジェクトがこれまでにパッチを適用されたと McKee 氏は明らかにしました。

「脆弱性の表面領域を効果的に最小限に抑えるために、Trellix Advanced Research Center は、脆弱なコードを使用することが知られているオープン ソース プロジェクトにパッチを適用するために、数か月にわたる取り組みを実行しました」と彼は言いました。

「GitHub を通じて、開発者とコミュニティ メンバーは、プル リクエストと呼ばれるプロセスを介して、プラットフォーム上のプロジェクトまたはリポジトリにコードをプッシュできます。 リクエストが開かれると、プロジェクトのメンテナーは提案されたコードをレビューし、必要に応じて協力または説明をリクエストし、新しいコードを受け入れます。」

「インポート tarfile」というキーワードを含むリポジトリとファイルのリストを受け取った後、McKee 氏は、研究者が Creosote 脆弱性ツールを使用してスキャンするリポジトリのリストを編集できたと述べました。

「リポジトリに脆弱性が含まれていると判断された場合、ファイルにパッチを適用し、パッチを適用したファイルを含むローカル パッチ diff を作成して、ユーザーが 2 つのファイル、元のファイル、およびリポジトリに関するいくつかのメタデータを簡単に比較できるようにしました」と彼は付け加えました。

オープンソースの脆弱性

オープン ソースの脆弱性は、近年、世界中の企業にとって繰り返し発生する問題となっています。 昨年の Anaconda の調査によると、組織はセキュリティ上の懸念から、2021 年から 2022 年にかけてオープンソース ソフトウェアの使用を縮小したことがわかりました。

Anaconda の調査に対する回答者のほぼ 3 分の 1 (31%) が、セキュリティの脆弱性がオープン ソース コミュニティにおける最大の課題であると述べています。

2022 年 5 月、セキュリティの専門家は、人気のある 2 つのオープン ソース パッケージ、Python CTX と PHP の phpass に脆弱性を発見しました。

この脆弱性が悪用された場合、攻撃者は AWS クラウドの認証情報を収集するソフトウェア サプライ チェーンのハッキングを開始できた可能性があります。

McKee 氏は、重大な脆弱性を排除するには、オープン ソース コミュニティ全体での優れたコラボレーションが必要であると警告しました。

「業界として、根本的な脆弱性を探して根絶する必要性を無視することはできません」と彼は言いました。 「たとえ多くの時間がかかっても、オープンソース プロジェクトの一括パッチ適用を行うことができ、セクターや地域を越えて、あらゆる規模の組織に利益をもたらすことができます。」

McKee 氏は、「過去の攻撃対象領域の再導入を適切に防止する」ために、アプリケーションでコード ライブラリとフレームワークを使用している組織は、定期的なチェックを実施し、サプライ チェーンの透明性を向上させるための堅牢な評価手段を実装していると付け加えました。

将来の出版

続きを読む: Python セキュリティ


Leave a Comment

Your email address will not be published. Required fields are marked *