日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

威脅檢測和響應(yīng)公司 Trellix 的研究人員發(fā)現(xiàn)了一個存在 15 年之久的 Python 漏洞，表明它比最初認為的更嚴重，并且可能影響數(shù)十萬個應(yīng)用程序。有問題的漏洞是 CVE-2007-4559，最初被描述為 Python 的“tarfile”模塊中的目錄遍歷漏洞，該漏洞可能允許攻擊者通過說服用戶處理特制的 tar 檔案來遠程覆蓋任意文件。

創(chuàng)新互聯(lián)建站專注于企業(yè)成都全網(wǎng)營銷推廣、網(wǎng)站重做改版、冊亨網(wǎng)站定制設(shè)計、自適應(yīng)品牌網(wǎng)站建設(shè)、HTML5、購物商城網(wǎng)站建設(shè)、集團公司官網(wǎng)建設(shè)、外貿(mào)網(wǎng)站建設(shè)、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計等建站業(yè)務(wù)，價格優(yōu)惠性價比高，為冊亨等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

該漏洞從未正確修補，而是警告用戶不要打開來自不受信任來源的存檔文件。通過對 GitHub 的標準公共訪問，能夠找到超過 300,000 個包含 Python 的 tarfile 模塊的文件，平均 61% 的文件容易受到 2022 年 CVE-2007-4559 的攻擊。聯(lián)系 GitHub 以查看是否我們可以更全面地了解這個存在 15 年之久的漏洞的足跡。在 GitHub 的合作下，能夠確定在大約 588,000 個獨特的存儲庫中大約有 287 萬個開源文件，其中包含 Python 的 tarfile 模塊。由于數(shù)據(jù)集很大，目前正在處理結(jié)果，然而，目前存在 61% 的易受攻擊實例，這使我們估計超過 350,000 個獨特的開源存儲庫將容易受到這種攻擊。這個開源代碼庫跨越了眾多行業(yè)。這些行業(yè)的概述可以在下面的圖表中看到，我們預(yù)計如果所有軟件的數(shù)據(jù)都可用，它會更廣泛。

Trellix 的研究人員現(xiàn)在表明，攻擊者可以利用該漏洞編寫任意文件，并在大多數(shù)情況下執(zhí)行惡意代碼。他們針對幾個使用易受攻擊的 Python 模塊的流行應(yīng)用程序證明了這一點，甚至展示了攻擊者如何使用社會工程在具有管理員權(quán)限的目標系統(tǒng)上執(zhí)行任意代碼。

這家網(wǎng)絡(luò)安全公司發(fā)布了一個名為Creosote的開源工具，可用于掃描項目中是否存在此 tarfile 漏洞。使用此工具，他們掃描了公共 GitHub 存儲庫并發(fā)現(xiàn)了 300,000 個包含 tarfile 模塊的文件，其中大約 61%容易受到利用 CVE-2007-4559 的攻擊。

在 GitHub 的幫助下，他們進行了更全面的掃描，在近 590,000 個獨特的存儲庫中識別出 287 萬個包含 tarfile 模塊的開源文件。如果其中 61% 易受攻擊，則受 CVE-2007-4559 影響的開源項目總數(shù)約為 350,000 個。其中包括開發(fā)、人工智能/機器學(xué)習(xí)、網(wǎng)絡(luò)、數(shù)據(jù)科學(xué)、IT 管理和其他行業(yè)的組織制作的應(yīng)用程序。

此外，研究人員指出，有問題的模塊也存在于許多閉源項目中。

Trellix說：“這個漏洞非常容易利用，幾乎不需要了解復(fù)雜的安全主題。由于這一事實以及該漏洞在野外普遍存在，Python 的 tarfile 模塊已成為威脅全球基礎(chǔ)設(shè)施的巨大供應(yīng)鏈問題?！?/p>
當前文章：15年歷史的Python 漏洞復(fù)活，影響35萬個項目
標題鏈接：http://www.5511xx.com/article/dpdgegp.html