Über 350'000 betroffene Projekte

15 Jahre alte Schwachstelle gefährdet zigtausende Open-Source-Projekte

Uhr
von Yannick Züllig und aob

Ein seit 15 Jahren ungepatchte Schwachstelle eines Python–Moduls gefährdet über 350'000 Open-Source-Projekte. Angreifer können die Schwachstelle nutzen, um beliebigen Code auf der betroffenen Maschine auszuführen.

(Source: Joshua Sortino / Unsplash)
(Source: Joshua Sortino / Unsplash)

Über 350'000 Open-Source-Projekte sind aufgrund einer Sicherheitslücke in einem Python-Modul, die seit 15 Jahren ungepatcht ist, potenziell gefährdet. Das berichtet das Portal "thehackernews.com".

Die betroffenen Open-Source-Repositories umfassen eine Reihe von Branchen wie Softwareentwicklung, künstliche Intelligenz/maschinelles Lernen, Webentwicklung, Medien, Sicherheit und IT-Management.

Die Schwachstelle, die als CVE-2007-4559 getrackt wird, hat ihre Wurzeln im Tarfile-Modul, dessen erfolgreiche Ausnutzung zur Codeausführung durch das Schreiben einer beliebigen Datei führen kann. Das Tarfile-Modul ist eine Pyhon Bibliothek, die zum Lesen und Schreiben von Bandarchivdateien (.tar) verwendet wird.

Nur zwei Punkte nötigt

"Die Schwachstelle ist ein Path-Traversal-Angriff in den extract- und extractall-Funktionen des tarfile-Moduls, der es einem Angreifer ermöglicht, beliebige Dateien zu überschreiben, indem er die '..'-Sequenz an Dateinamen in einem TAR-Archiv anhängt", sagt Trellix-Sicherheitsforscher Kasimir Schulz in einem Bericht.

Ursprünglich wurde die Schwachstelle schon 2007 entdeckt, Schulz und sein Team wurden beim Untersuchen einer anderen Sicherheitslücke darauf aufmerksam. Ein speziell präpariertes Tar-Archiv kann ausgenutzt werden, um beliebige Dateien auf einem Zielrechner zu überschreiben, sobald die Datei geöffnet wird.

Ein Angreifer kann die Schwachstelle also ausnutzen, indem er eine bösartige tar-Datei so hochlädt, dass es möglich ist, das Verzeichnis, in das eine Datei extrahiert werden soll, zu umgehen und Code auszuführen. Dadurch könne der Angreifer möglicherweise die Kontrolle über ein Zielgerät übernehmen.

Auf der offiziellen Tarfile-Dokumentationsseite von Python prangt daher seit Jahren die Warnung: "Extrahieren Sie niemals Archive aus nicht vertrauenswürdigen Quellen ohne vorherige Prüfung. Es ist möglich, dass Dateien ausserhalb des Pfades erstellt werden, z.B. Elemente, die absolute Dateinamen haben, die mit '/' beginnen oder Dateinamen mit zwei Punkten '..'."

Einen Fix für das Problem gibt es zurzeit nicht, das Trellix-Team bietet jedoch ein Tool an, mit welchem sich Open-Source-Projekte scannen lassen, um herauszufinden, ob das Projekt anfällig für die Schwachstelle ist.

Lesen Sie auch: Open Source setzt sich durch - auch in der Schweiz.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_269353