Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Python: Trellix patcht Bug automatisiert in 62.000 Projekten

Weil Trellix einen Bug wiederentdeckt hat, der seit 2007 in Python ungefixt geblieben war, hat man sich für einen neuartigen Ansatz entschieden.
/ Boris Mayer
3 Kommentare News folgen (öffnet im neuen Fenster)
Ist das automatische Erstellen von Patches und Pull-Requests im großen Stil eine Lösung, um Bugs einzufangen, bevor die zu Grunde liegende Sicherheitslücke stechen kann? - Trellix hat es versucht. (Bild: Blake Burkhart via flickr)
Ist das automatische Erstellen von Patches und Pull-Requests im großen Stil eine Lösung, um Bugs einzufangen, bevor die zu Grunde liegende Sicherheitslücke stechen kann? - Trellix hat es versucht. Bild: Blake Burkhart via flickr / CC-BY 2.0

Vor wenigen Monaten hat Trellix einen Bug(öffnet im neuen Fenster) in Python entdeckt, der schon vor 15 Jahren gefunden worden war. Im Jahr 2010 sahen die Entwickler noch keinen Grund zu einer Änderung: "Die aktuelle Upstream-Meinung scheint zu sein, dass das Verhalten des Moduls den Standards entspricht und einfach nicht zum Extrahieren von Archiven aus nicht vertrauenswürdigen Quellen verwendet werden sollte" , hieß es zur Begründung in dem zugehörigen Ticket(öffnet im neuen Fenster) bei Redhat.

Die Sicherheitslücke steckt im Tarfile-Modul von Python und war eine Path-Traversal-Schwachstelle. In Tarfiles können für einzelne Dateien Pfade angegeben werden, die als zwei Punkte die Navigation zum übergeordneten Verzeichnis erlauben, was es letztlich ermöglicht, in einem Tarfile eine beliebige Datei im System gezielt zu überschreiben - sofern der Kontext, in dem das Tar-Modul ausgeführt wird, die Berechtigungen dazu hat.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Softwareentwickler SAP (m/w/d) naturenergie hochrhein AG, Rheinfelden (Baden) (öffnet im neuen Fenster)
Koordinator*in Unternehmenskommunikation mit leitender Fachverantwortung IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
SAP Application Manager (w/m/d) - Master Data Governance Hensoldt, Ulm (öffnet im neuen Fenster)
Softwareentwickler / Full-Stack-Web-Developer (w/m/d) Kommunaler Schadenausgleich der Länder BB, MV, SN, ST und TH, Berlin (öffnet im neuen Fenster)
Teamleitung Softwareentwicklung (w/m/d) als stellvertretende Abteilungsleitung IT Ärzteversorgung Westfalen-Lippe, Münster (öffnet im neuen Fenster)
Data Engineer (m/w/d) Deutsche Bundesbank, Frankfurt (öffnet im neuen Fenster)
Portfoliomanager (m/w/d) Finanz Informatik GmbH & Co. KG, Frankfurt am Main,Münster,Hannover (öffnet im neuen Fenster)
Senior Salesforce Developer / IT Architect Salesforce - B2B Commerce (m/w/d) DEKRA SE, Stuttgart (öffnet im neuen Fenster)

Eigentlich sind die Konventionen anders

Im Unix-tar-command sind die Konventionen andere. Nutzer müssen bei GNU-basierenden Systemen die Option --absolute-names , bei BDS-basierenden dagegen die Option --absolute-paths angeben, um den Check und das Verbot von Pfaden, die die zwei-Punkte-Referenz verwenden, abzuschalten.

Weil sich in der Zwischenzeit Python aber stark verbreitet hat und in vielen Open-Source-Projekten eingesetzt wird, die von der Lücke betroffen sein könnten, ließ sich Trellix von einem Vortrag(öffnet im neuen Fenster) des Sicherheitsforschers Jonathan Leitschuh auf der Defcon-2022(öffnet im neuen Fenster) inspirieren. Leitschuh sprach darüber, wie sich Schwachstellen im großen Maßstab beheben lassen.

Trellix schreibt auf dem Blog(öffnet im neuen Fenster) der Firma, dass die Anzahl der betroffenen Open-Source-Projekte bei ca. 350.000 liegen könnte. Für 61.895 dieser Projekte habe man automatisiert Patches eingestellt und nach einem Review auch mit Pull-Requests versehen. Spannend wird sein, wie es mit diesen Pull-Requests weitergeht, denn in toten Projekten kümmert sich niemand um so etwas und aktive Projekte könnten automatisch erstellten Pull Requests sehr skeptisch gegenüberstehen.

Die Firma Trellix wurde erst im letzten Jahr von der Symphony Technology Group (STG) gestartet, besteht aber aus den von der STG zuvor zugekauften Firmen McAffee Enterprise und Manidant - letztere bis kurz davor als Fireeye bekannt.

Zur Startseite 3 Kommentare

Relevante Themen

SecuritySicherheitslückeUpdates & PatchesDatensicherheitDefcon