Python tem falha antiga que pode comprometer milhares de projetos
Por Kaique Lima | Editado por Claudio Yuge | 23 de Setembro de 2022 às 22h00
Uma falha de segurança bastante antiga do Python, que nunca foi corrigida, acaba de ressurgir e colocou pesquisadores em alerta, já que a vulnerabilidade pode deixar milhares de projetos suscetíveis à execução de códigos maliciosos. Segundo pesquisadores da empresa de segurança cibernética Trellix, o erro foi descoberto pela primeira vez em 2007.
- Por que a Geração Z não gosta da linguagem de programação Python?
- Quatro desvantagens do Python em relação a outras linguagens de programação
A falha recebeu o nome de CVE-2007-4559, e trata-se de um erro no pacote tarfile do Python. Desde que foi descrita originalmente, a vulnerabilidade nunca recebeu um patch de correção, apenas um aviso sobre sua existência em um boletim de segurança. A falha está no código que usa a função tarfile.extract() não higienizada ou os padrões internos de tarfileextractall().
“É um bug de passagem de caminho que permite que um invasor sobrescreva arquivos arbitrários”, explica a Trellix. De acordo com os pesquisadores, a falha dá acesso ao sistema de arquivos ao cibercriminoso. Os estudiosos defendem que a vulnerabilidade pode ser explorada tanto no Windows quanto no Linux.
Falha pode atingir 350.000 projetos escritos em Python
De uma amostra de 257 repositórios coletados pelos pesquisadores da Trellix, 61% estavam vulneráveis. Isso pode significar que, em 15 anos, cerca de 350.000 projetos podem ter sido colocados em risco. Uma segunda análise, realizada em conjunto com o GitHub, chancelou a conclusão inicial de que cerca de 61% dos repositórios únicos podem estar vulneráveis.
O problema está presente em um número significativo de indústrias, que é um dos setores que podem estar mais suscetíveis a invasões usando a brecha. As empresas do setor de desenvolvimento são as que estão mais vulneráveis, seguidas pelas organizações de tecnologia em aprendizado de máquina e web.
Foram emitidas correções para cerca de 11.000 projetos, a maior parte disponibilizados como bifurcações para os repositórios afetados. Esses patches serão inseridos no projeto principal por meio de pull request, em uma data ainda não informada. Outros 70.000 programas devem ser corrigidos em breve. A data para todas as correções, no entanto, ainda não está no horizonte.
Fonte: Tech Radar