Digital Eliteboard - Das große Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Alert! Python: 15 Jahre alte Schwachstelle betrifft potenziell 350.000 Projekte

Das Cybersecurity-Unternehmen Trellix hat eine fünfzehn Jahre alte Schwachstelle in einem Python-Modul entdeckt. Das auf die Verarbeitung von tar-Dateien ausgelegte tarfile-Modul ist in den Methoden zum Entpacken für Directory-Traversal-Attacken anfällig.

Laut den Angaben von Trellix, das
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
von McAfee und FireEye entstanden ist, glaubten die Security-Forscher zunächst, auf eine Zero-Day-Lücke gestoßen zu sein. Sie haben die Schwachstelle offenbar zufällig entdeckt, als sie eine davon unabhängige Vulnerability untersucht haben. Die vermeintlich neue Schwachstelle hat allerdings einen CVE-Eintrag (Common Vulnerabilities and Exposures), der auf das Jahr 2007 zurück geht.

Fünfzehn Jahre bekannt, aber nicht behoben​

Die Directory-Traversal-Schwachstelle ist beim National Institute of Standards and Technology (NIST)
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. Betroffen sind die Funktionen extract und extractall in dem Modul tarfile.
Das Modul nutzt die Klasse Tarinfo, um die Metadaten wie die Dateinamen, Größe und Checksums abzulegen. Ein Angriff kann die Metadaten modifizieren, um mit vorangestellten "/" oder "../" das aktuelle Verzeichnis zu verlassen und beispielsweise mit "../../../etc/passwd" die Passwort-Datei zu überschreiben. Eine Prüfung auf entsprechende Konstrukte bietet das Modul nicht.

Du musst dich Anmelden oder Registrieren um diesen link zusehen!



Der einfache Codeausschnitt ist ein Beispiel, wie ein Angriff die Schwachstelle auszunutzen kann, um einer Datei in einem tar-Archiv "../" voranzustellen.
(Bild: Trellix)

Fünfzehn Jahre bekannt, aber nicht behoben​

Das
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
existiert seit August 2007, nachdem ein Entwickler
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. Allerdings kamen die verantwortlichen Developer bereits nach zwei Tagen zu dem Schluss, dass es sich um kein Security-relevantes Problem handle:

"Nach reiflicher Überlegung und einer privaten Diskussion mit Martin glaube ich nicht mehr, dass wir ein Sicherheitsproblem haben. tarfile.py macht nichts verkehrt, sondern verhält sich entsprechend der pax-Definition und den Richtlinien zur Auflösung von Pfadnamen in POSIX. Ein bekannter oder möglicher praktischer Exploit existiert nicht."

Daraufhin schlossen sie den Bug, ohne den Code zu ändern, fügten aber eine zusätzliche Warnung in die Dokumentation ein.

Du musst dich Anmelden oder Registrieren um diesen link zusehen!



Die Dokumentation warnt, dass die Methode zum Entpacken die Pfadnamen nicht prüft.
(Bild:
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
)

Betroffene Projekte und Wiedervorlage des Issue​

Wie viele Projekte tatsächlich betroffen sind, lässt sich nur schätzen. Trellix gibt als eigene Schätzung
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
an, und darüber hinaus sind Closed-Source-Projekte betroffen. tarfile ist Bestandteil der Standardmodule von Python, und Trellix hat deren Einsatz in Frameworks von Netflix, AWS, Intel, Facebook und Google sowie in Anwendungen für Machine Learning und Docker-Containerisierung gefunden.

Kurz nach der Bekanntmachung der Schwachstelle fanden sich frische Kommentare zum zugehörigen Issue. Damit ist gut möglich, dass sich jemand des alten Problems annimmt.
Weitere Details zur Vulnerability, der Suche nach potenziell betroffenen Projekten und eine Demonstration zum Ausnutzen der Schwachstelle in der IDE Spyder
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
.
Quelle: heise
 
Oben