Python: Trellix patcht Bug automatisiert in 62.000 Projekten

Weil Trellix einen Bug wiederentdeckt hat, der seit 2007 in Python ungefixt geblieben war, hat man sich für einen neuartigen Ansatz entschieden.

Artikel veröffentlicht am ,
Ist das automatische Erstellen von Patches und Pull-Requests im großen Stil eine Lösung, um Bugs einzufangen, bevor die zu Grunde liegende Sicherheitslücke stechen kann? - Trellix hat es versucht.
Ist das automatische Erstellen von Patches und Pull-Requests im großen Stil eine Lösung, um Bugs einzufangen, bevor die zu Grunde liegende Sicherheitslücke stechen kann? - Trellix hat es versucht. (Bild: Blake Burkhart via flickr/CC-BY 2.0)

Vor wenigen Monaten hat Trellix einen Bug in Python entdeckt, der schon vor 15 Jahren gefunden worden war. Im Jahr 2010 sahen die Entwickler noch keinen Grund zu einer Änderung: "Die aktuelle Upstream-Meinung scheint zu sein, dass das Verhalten des Moduls den Standards entspricht und einfach nicht zum Extrahieren von Archiven aus nicht vertrauenswürdigen Quellen verwendet werden sollte", hieß es zur Begründung in dem zugehörigen Ticket bei Redhat.

Die Sicherheitslücke steckt im Tarfile-Modul von Python und war eine Path-Traversal-Schwachstelle. In Tarfiles können für einzelne Dateien Pfade angegeben werden, die als zwei Punkte die Navigation zum übergeordneten Verzeichnis erlauben, was es letztlich ermöglicht, in einem Tarfile eine beliebige Datei im System gezielt zu überschreiben - sofern der Kontext, in dem das Tar-Modul ausgeführt wird, die Berechtigungen dazu hat.

Eigentlich sind die Konventionen anders

Im Unix-tar-command sind die Konventionen andere. Nutzer müssen bei GNU-basierenden Systemen die Option --absolute-names, bei BDS-basierenden dagegen die Option --absolute-paths angeben, um den Check und das Verbot von Pfaden, die die zwei-Punkte-Referenz verwenden, abzuschalten.

Weil sich in der Zwischenzeit Python aber stark verbreitet hat und in vielen Open-Source-Projekten eingesetzt wird, die von der Lücke betroffen sein könnten, ließ sich Trellix von einem Vortrag des Sicherheitsforschers Jonathan Leitschuh auf der Defcon-2022 inspirieren. Leitschuh sprach darüber, wie sich Schwachstellen im großen Maßstab beheben lassen.

Trellix schreibt auf dem Blog der Firma, dass die Anzahl der betroffenen Open-Source-Projekte bei ca. 350.000 liegen könnte. Für 61.895 dieser Projekte habe man automatisiert Patches eingestellt und nach einem Review auch mit Pull-Requests versehen. Spannend wird sein, wie es mit diesen Pull-Requests weitergeht, denn in toten Projekten kümmert sich niemand um so etwas und aktive Projekte könnten automatisch erstellten Pull Requests sehr skeptisch gegenüberstehen.

Die Firma Trellix wurde erst im letzten Jahr von der Symphony Technology Group (STG) gestartet, besteht aber aus den von der STG zuvor zugekauften Firmen McAffee Enterprise und Manidant - letztere bis kurz davor als Fireeye bekannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Makeover
Das neue Microsoft Teams wird schneller und effizienter

Microsoft Teams wird komplett überarbeitet und soll nicht nur schneller starten, weicher scrollen und flotter verbinden, sondern auch weniger Speicher belegen.

Makeover: Das neue Microsoft Teams wird schneller und effizienter
Artikel
  1. Fahrbericht Nikola Tre FCEV: Der Wasserstoff-Lkw mit mobiler Zapfsäule
    Fahrbericht Nikola Tre FCEV
    Der Wasserstoff-Lkw mit mobiler Zapfsäule

    Neben einem vollelektrischen Lkw schickt das US-Start-up Nikola bald auch einen Wasserstoff-Laster auf die Straße. Wir sind mit dem Prototyp gefahren.
    Ein Bericht von Wolfgang Gomoll

  2. Apple-Produkte mit bis zu 330 Euro Rabatt bei Amazon
     
    Apple-Produkte mit bis zu 330 Euro Rabatt bei Amazon

    Seit gestern Abend laufen bei Amazon die Frühlingsangebote. Produkte von Apple wie die Apple Watch, das iPhone und Airpods sind reduziert.
    Ausgewählte Angebote des E-Commerce-Teams

  3. PODCAST BESSER WISSEN: In der Lausitz nach den Sternen greifen
    PODCAST BESSER WISSEN
    In der Lausitz nach den Sternen greifen

    Wir sprechen in unserem Podcast über ein Astronomie-Projekt, das eine Region verändern soll.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Große Amazon Rabatt-Aktion • MindStar: 6 Grafikkarten günstiger • Monitore bis -50% • Windows Week • Logitech bis -49% • Radeon 7900 XTX 24 GB günstig wie nie • Alexa-Sale bei Amazon • Kingston Fury 16GB DDR4-3600 43,90€ • 3 Spiele kaufen, 2 zahlen • MM-Osterangebote [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /