超过35万个开源项目受到旧Python模块漏洞的影响 媒体
Python 中 tarfile 模块的漏洞影响超过 35 万个开源项目
主要要点
超过 350000 个开源项目受到 Python tarfile 模块 15 年未修复漏洞的影响漏洞编号 CVE20074559,可导致文件覆盖和劫持Trellix 正在积极修复相关代码,并已为 11005 个代码库准备了补丁近期,Trellix 的研究人员发现,超过 350000 个开源项目面临一个未解决的漏洞,该漏洞存在于 Python 的 tarfile 模块中,已经长达 15 年。据 The Register 报导,漏洞被标记为 CVE20074559,攻击者可以利用该漏洞在打开恶意 tar 归档文件时进行文件覆盖和劫持。Trellix 的研究员 Jan Matejek 表示:“这个漏洞是针对 tarfile 模块中 extract 和 extractall 函数的路径遍历攻击,攻击者可以通过向 tar 归档中的文件名添加 序列来覆盖任意文件。”
闪连加速器app官网Trellix 正在积极修复这一漏洞,致力于提供安全的代码修复。“使用我们的工具,我们目前已经为 11005 个代码库准备了补丁,准备进行拉取请求。每个补丁将被添加到一个分支库中,并逐步提交拉取请求鉴于受影响项目的数量,我们预计将在接下来的几周内继续这一过程。到完成时,这一修复计划预计将涵盖 1206 的所有受影响项目,超过 70000 个项目,”Trellix 研究员 Charles McFarland 补充道。
引用: “我们会继续跟踪这一漏洞,确保尽可能多的项目能够获得修复,同时提高开源社区的安全性。”
漏洞信息详情漏洞编号CVE20074559影响项目数量超过 350000 个开源项目修复项目进展已为 11005 个项目准备补丁预计修复比例1206为了确保你的项目安全,请及时检查使用的 Python 包,并关注相关的更新和修复补丁。维护代码的安全性是开发者不可忽视的重要环节。
