Wystarczy dopisać dwie kropki do nazwy archiwum TAR, by doprowadzić choćby do zdalnego wykonania kodu we wszystkich wersjach Pythona.
Niedobre wieści płyną do nas z Trellix Advanced Research Center. Analitycy tej firmy odnaleźli w Pythonie nowy wariant podatności CVE-2007-4559, która sklasyfikowana jest według CVSS 2.0 „tylko” jako średnio groźna (6,8), ale nie to budzi największe obawy. Znaczie poważniejszy problem stanowi to, iż luka od 15 lat pozostaje niezałatana i wykorzystać można ją w przypadku ok. 350 tys. pythonowych projektów dostępnych na GitHubie. 15-letnia groźna luka w PythonieCVE-2007-4559 to podatność typu Path Traversal, a zatem umożliwia napastnikowi uzyskanie nieautoryzowanego dostępu do plików i katalogów. Konkretniej rzecz ujmując, za sprawą nieodpowiedniego działania funkcji extract i exctractall w module pozwalającym na obsługę plików TAR (paczka tarfile), atakujący może nadpisać dowolny plik. Jedyne co musi zrobić, to dopisać dwie kropki do nazwy archiwum.Powiązane
Budowa bariery elektronicznej na brzegu rzeki Bug
8 godzin temu
Poznaliśmy zwycięzców IV sezonu Ligi CyberBastion!
9 godzin temu
Google będzie jeszcze tańsze. Nowy plan zaskoczył ceną!
10 godzin temu
W jakie oświetlenie musi być wyposażone miejsce pracy?
20 godzin temu
Czy rozpoznawanie twarzy jest bezpieczne?
21 godzin temu
Zobacz premiery i nowości SecOps
3 dni temu
Polecane
Niemcy wprowadzają kontrolę na wszystkich granicach.
1 dzień temu
Szef ABW zadecyduje kto jest terrorystą
1 tydzień temu
Stopnie alarmowe na terenie całego kraju wciąż obowiązują
2 tygodni temu
Jak wielką rolę odgrywają saperzy w akcji?
2 tygodni temu
