Security: Lücke in Pythons Tarfile-Modul betrifft 350.000 Projekte

Bereits seit 15 Jahren besteht die Sicherheitslücke im Tarfile-Modul der Programmiersprache Python. Viele Projekte sind verwundbar.

Artikel veröffentlicht am ,
Die Path-Traversal-Lücke in Python wurde nie gepatcht.
Die Path-Traversal-Lücke in Python wurde nie gepatcht. (Bild: Andreas Glöckner/Pixabay)

Bereits 2007 wurde eine Sicherheitslücke (CVE-2007-4559) im Pythons Tarfile-Modul entdeckt. Als Abhilfemaßnahme wurde damals die Dokumentation angepasst, die Entwickler vor dem möglichen Risiko warnte. Ein Patch wurde laut dem Onlinemagazin Bleepingcomputer nicht veröffentlicht.

Stellenmarkt
  1. Fachinformatiker Systemintegration als IT-Supporter (m/w/d) im User-Helpdesk
    Goldhofer Aktiengesellschaft, Memmingen
  2. Teamleiter Testmanagement (m/w/d)
    beauty alliance IT SERVICES GmbH, Bielefeld
Detailsuche

Konkret befindet sich die Sicherheitslücke in Code, der die nicht bereinigte Funktion tarfile.extract() oder die eingebauten Standardwerte von tarfile.extractall() verwendet. Mit diesen lassen sich Tar-Archive entpacken.

Bei der Schwachstelle handelt es sich um einen Path Traversal. Mit diesem kann der Zielordner der zu entpackenden Datei geändert werden. So lassen sich beispielsweise Dateien überschreiben und dadurch eventuell auch Code ausführen.

350.000 Projekte betroffen - Patches für 11.000 erstellt

Die Sicherheitsfirma Trellix entdeckte das Problem Anfang des Jahres bei einer Untersuchung erneut und überprüfte anschließend manuell 257 Projekte auf Github, bei denen die Wahrscheinlichkeit bestand, dass die Repositories verwundbar sind. Dabei enthielten 175 die Sicherheitslücke.

Golem Karrierewelt
  1. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    12.-14.10.2022, Virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    10./11.10.2022, virtuell
Weitere IT-Trainings

"Mit der Hilfe von Github waren wir in der Lage, einen viel größeren Datensatz zu erhalten, der 588.840 einzigartige Repositories enthält, die 'import tarfile' in ihrem Python-Code enthalten", schreibt Trellix.

Ausgehend von der manuell überprüften Schwachstellenquote von 61 Prozent schätzt Trellix, dass es mehr als 350.000 anfällige Repositories gibt. 11.000 Repositories wurden von Trellix geforkt und Patches erstellt. Diese sollen später über Pull Requests in die Hauptprojekte einfließen.

Bisher gibt es laut Bleepingcomputer jedoch keine bekannten Fälle, in denen die Sicherheitslücke aktiv ausgenutzt wurde. Auch in Winrar wurde 2019 eine ähnliche Sicherheitslücke entdeckt, die bereits seit 19 Jahren in dem Packprogramm gesteckt hatte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Für 44 Milliarden US-Dollar
Musk will Twitter nun doch übernehmen

Tesla-Chef Elon Musk ist nun doch bereit, Twitter für den ursprünglich vereinbarten Preis zu kaufen. Offenbar will er einen Prozess vermeiden.

Für 44 Milliarden US-Dollar: Musk will Twitter nun doch übernehmen
Artikel
  1. Die große Umfrage: Das sind Deutschlands beste IT-Arbeitgeber 2023
    Die große Umfrage
    Das sind Deutschlands beste IT-Arbeitgeber 2023

    Golem.de und Statista haben 23.000 Fachkräfte nach ihrer Arbeit gefragt. Das Ergebnis ist eine Liste der 175 besten Unternehmen für IT-Profis.

  2. Monitoring von Container-Landschaften: Prometheus ist nicht alles
    Monitoring von Container-Landschaften
    Prometheus ist nicht alles

    Betreuer von Kubernetes und Co., die sich nicht ausreichend mit der Thematik beschäftigen, nehmen beim metrikbasierte Monitoring unwissentlich einige Nachteile in Kauf. Eventuell ist es notwendig, den üblichen Tool-Stack zu ergänzen.
    Von Valentin Höbel

  3. Roadmap: CD Projekt kündigt neues Cyberpunk und mehrere Witcher an
    Roadmap
    CD Projekt kündigt neues Cyberpunk und mehrere Witcher an

    Project Polaris wird eine Witcher-Saga, Orion das nächste Cyberpunk 2077 und Hadar etwas ganz Neues: CD Projekt hat seine Pläne vorgestellt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 3 Spiele für 49€ • Saturn Gutscheinheft • Günstig wie nie: LG OLED 48" 799€, Xbox Elite Controller 2 114,99€, AOC 28" 4K UHD 144 Hz 600,89€, Corsair RGB Midi-Tower 269,90€, Sandisk microSDXC 512GB 39€ • Bis zu 15% im eBay Restore • MindStar (PowerColor RX 6700 XT 489€) [Werbung]
    •  /