Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Alert! Python: 15 Jahre alte Schwachstelle betrifft potenziell 350.000 Projekte

Das Cybersecurity-Unternehmen Trellix hat eine fünfzehn Jahre alte Schwachstelle in einem Python-Modul entdeckt. Das auf die Verarbeitung von tar-Dateien ausgelegte tarfile-Modul ist in den Methoden zum Entpacken für Directory-Traversal-Attacken anfällig.

Laut den Angaben von Trellix, das Anfang 2022 aus der Zusammenführung von McAfee und FireEye entstanden ist, glaubten die Security-Forscher zunächst, auf eine Zero-Day-Lücke gestoßen zu sein. Sie haben die Schwachstelle offenbar zufällig entdeckt, als sie eine davon unabhängige Vulnerability untersucht haben. Die vermeintlich neue Schwachstelle hat allerdings einen CVE-Eintrag (Common Vulnerabilities and Exposures), der auf das Jahr 2007 zurück geht.

Fünfzehn Jahre bekannt, aber nicht behoben​

Die Directory-Traversal-Schwachstelle ist beim National Institute of Standards and Technology (NIST) als CVE-2007-4559 aufgeführt. Betroffen sind die Funktionen extract und extractall in dem Modul tarfile.
Das Modul nutzt die Klasse Tarinfo, um die Metadaten wie die Dateinamen, Größe und Checksums abzulegen. Ein Angriff kann die Metadaten modifizieren, um mit vorangestellten "/" oder "../" das aktuelle Verzeichnis zu verlassen und beispielsweise mit "../../../etc/passwd" die Passwort-Datei zu überschreiben. Eine Prüfung auf entsprechende Konstrukte bietet das Modul nicht.

Du musst angemeldet sein, um Bilder zu sehen.



Der einfache Codeausschnitt ist ein Beispiel, wie ein Angriff die Schwachstelle auszunutzen kann, um einer Datei in einem tar-Archiv "../" voranzustellen.
(Bild: Trellix)

Fünfzehn Jahre bekannt, aber nicht behoben​

Das Issue zu der Schwachstelle existiert seit August 2007, nachdem ein Entwickler in einer Mail darauf aufmerksam gemacht hatte. Allerdings kamen die verantwortlichen Developer bereits nach zwei Tagen zu dem Schluss, dass es sich um kein Security-relevantes Problem handle:

"Nach reiflicher Überlegung und einer privaten Diskussion mit Martin glaube ich nicht mehr, dass wir ein Sicherheitsproblem haben. tarfile.py macht nichts verkehrt, sondern verhält sich entsprechend der pax-Definition und den Richtlinien zur Auflösung von Pfadnamen in POSIX. Ein bekannter oder möglicher praktischer Exploit existiert nicht."

Daraufhin schlossen sie den Bug, ohne den Code zu ändern, fügten aber eine zusätzliche Warnung in die Dokumentation ein.

Du musst angemeldet sein, um Bilder zu sehen.



Die Dokumentation warnt, dass die Methode zum Entpacken die Pfadnamen nicht prüft.
(Bild: Python.org)

Betroffene Projekte und Wiedervorlage des Issue​

Wie viele Projekte tatsächlich betroffen sind, lässt sich nur schätzen. Trellix gibt als eigene Schätzung in der Pressemitteilung als Hausnummer gut 350.000 Open-Source-Projekte an, und darüber hinaus sind Closed-Source-Projekte betroffen. tarfile ist Bestandteil der Standardmodule von Python, und Trellix hat deren Einsatz in Frameworks von Netflix, AWS, Intel, Facebook und Google sowie in Anwendungen für Machine Learning und Docker-Containerisierung gefunden.

Kurz nach der Bekanntmachung der Schwachstelle fanden sich frische Kommentare zum zugehörigen Issue. Damit ist gut möglich, dass sich jemand des alten Problems annimmt.
Weitere Details zur Vulnerability, der Suche nach potenziell betroffenen Projekten und eine Demonstration zum Ausnutzen der Schwachstelle in der IDE Spyder finden sich in einem Blogbeitrag.
Quelle: heise
 
Zurück
Oben