Das Cybersecurity-Unternehmen Trellix hat eine fünfzehn Jahre alte Schwachstelle in einem Python-Modul entdeckt. Das auf die Verarbeitung von tar-Dateien ausgelegte tarfile-Modul ist in den Methoden zum Entpacken für Directory-Traversal-Attacken anfällig.
Laut den Angaben von Trellix, das
Das Modul nutzt die Klasse Tarinfo, um die Metadaten wie die Dateinamen, Größe und Checksums abzulegen. Ein Angriff kann die Metadaten modifizieren, um mit vorangestellten "/" oder "../" das aktuelle Verzeichnis zu verlassen und beispielsweise mit "../../../etc/passwd" die Passwort-Datei zu überschreiben. Eine Prüfung auf entsprechende Konstrukte bietet das Modul nicht.
Der einfache Codeausschnitt ist ein Beispiel, wie ein Angriff die Schwachstelle auszunutzen kann, um einer Datei in einem tar-Archiv "../" voranzustellen.
(Bild: Trellix)
"Nach reiflicher Überlegung und einer privaten Diskussion mit Martin glaube ich nicht mehr, dass wir ein Sicherheitsproblem haben. tarfile.py macht nichts verkehrt, sondern verhält sich entsprechend der pax-Definition und den Richtlinien zur Auflösung von Pfadnamen in POSIX. Ein bekannter oder möglicher praktischer Exploit existiert nicht."
Daraufhin schlossen sie den Bug, ohne den Code zu ändern, fügten aber eine zusätzliche Warnung in die Dokumentation ein.
Die Dokumentation warnt, dass die Methode zum Entpacken die Pfadnamen nicht prüft.
(Bild:
Kurz nach der Bekanntmachung der Schwachstelle fanden sich frische Kommentare zum zugehörigen Issue. Damit ist gut möglich, dass sich jemand des alten Problems annimmt.
Weitere Details zur Vulnerability, der Suche nach potenziell betroffenen Projekten und eine Demonstration zum Ausnutzen der Schwachstelle in der IDE Spyder
Quelle: heise
Laut den Angaben von Trellix, das
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
von McAfee und FireEye entstanden ist, glaubten die Security-Forscher zunächst, auf eine Zero-Day-Lücke gestoßen zu sein. Sie haben die Schwachstelle offenbar zufällig entdeckt, als sie eine davon unabhängige Vulnerability untersucht haben. Die vermeintlich neue Schwachstelle hat allerdings einen CVE-Eintrag (Common Vulnerabilities and Exposures), der auf das Jahr 2007 zurück geht.Fünfzehn Jahre bekannt, aber nicht behoben
Die Directory-Traversal-Schwachstelle ist beim National Institute of Standards and Technology (NIST)Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Betroffen sind die Funktionen extract und extractall in dem Modul tarfile.Das Modul nutzt die Klasse Tarinfo, um die Metadaten wie die Dateinamen, Größe und Checksums abzulegen. Ein Angriff kann die Metadaten modifizieren, um mit vorangestellten "/" oder "../" das aktuelle Verzeichnis zu verlassen und beispielsweise mit "../../../etc/passwd" die Passwort-Datei zu überschreiben. Eine Prüfung auf entsprechende Konstrukte bietet das Modul nicht.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Der einfache Codeausschnitt ist ein Beispiel, wie ein Angriff die Schwachstelle auszunutzen kann, um einer Datei in einem tar-Archiv "../" voranzustellen.
(Bild: Trellix)
Fünfzehn Jahre bekannt, aber nicht behoben
DasDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
existiert seit August 2007, nachdem ein Entwickler
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Allerdings kamen die verantwortlichen Developer bereits nach zwei Tagen zu dem Schluss, dass es sich um kein Security-relevantes Problem handle:"Nach reiflicher Überlegung und einer privaten Diskussion mit Martin glaube ich nicht mehr, dass wir ein Sicherheitsproblem haben. tarfile.py macht nichts verkehrt, sondern verhält sich entsprechend der pax-Definition und den Richtlinien zur Auflösung von Pfadnamen in POSIX. Ein bekannter oder möglicher praktischer Exploit existiert nicht."
Daraufhin schlossen sie den Bug, ohne den Code zu ändern, fügten aber eine zusätzliche Warnung in die Dokumentation ein.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Die Dokumentation warnt, dass die Methode zum Entpacken die Pfadnamen nicht prüft.
(Bild:
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
)Betroffene Projekte und Wiedervorlage des Issue
Wie viele Projekte tatsächlich betroffen sind, lässt sich nur schätzen. Trellix gibt als eigene SchätzungDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
an, und darüber hinaus sind Closed-Source-Projekte betroffen. tarfile ist Bestandteil der Standardmodule von Python, und Trellix hat deren Einsatz in Frameworks von Netflix, AWS, Intel, Facebook und Google sowie in Anwendungen für Machine Learning und Docker-Containerisierung gefunden.Kurz nach der Bekanntmachung der Schwachstelle fanden sich frische Kommentare zum zugehörigen Issue. Damit ist gut möglich, dass sich jemand des alten Problems annimmt.
Weitere Details zur Vulnerability, der Suche nach potenziell betroffenen Projekten und eine Demonstration zum Ausnutzen der Schwachstelle in der IDE Spyder
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Quelle: heise
