Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Security: Lücke in Pythons Tarfile-Modul betrifft 350.000 Projekte

Bereits seit 15 Jahren besteht die Sicherheitslücke im Tarfile-Modul der Programmiersprache Python . Viele Projekte sind verwundbar.
/ Moritz Tremmel
Kommentare News folgen (öffnet im neuen Fenster)
Die Path-Traversal-Lücke in Python wurde nie gepatcht. (Bild: Andreas Glöckner/Pixabay)
Die Path-Traversal-Lücke in Python wurde nie gepatcht. Bild: Andreas Glöckner/Pixabay

Bereits 2007 wurde eine Sicherheitslücke (CVE-2007-4559) im Pythons Tarfile-Modul entdeckt. Als Abhilfemaßnahme wurde damals die Dokumentation angepasst, die Entwickler vor dem möglichen Risiko warnte. Ein Patch wurde laut dem Onlinemagazin Bleepingcomputer(öffnet im neuen Fenster) nicht veröffentlicht.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Teamleiter*in Anwendungsentwicklung (m/w/div) Deutsche Rentenversicherung Bund, Würzburg (öffnet im neuen Fenster)
Berliner Landesnetz Standardnetzzugang Koordinator*in IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Leitstellendisponent*innen (w/m/d) Kreis Unna, Unna (öffnet im neuen Fenster)
Webentwickler:in (m/w/d) Hörmann Deutschland, Mengerskirchen (öffnet im neuen Fenster)
IT-Spezialistin / IT-Spezialisten (m/w/d) Landesamt für Steuern, Koblenz (öffnet im neuen Fenster)
Prozessmanager*in Customer Excellence (2 Jahre befristet) DEW21 Dortmunder Energie- und Wasserversorgung GmbH DEW21, Dortmund (öffnet im neuen Fenster)
Wirtschaftsinformatiker / Informatiker als HRIS-Expert / Manager - SAP SuccessFactors (m/w/d) CEVA Logistics GmbH, Frankfurt am Main (öffnet im neuen Fenster)
Senior Flutter Entwickler (m/w/d) IPPEN.MEDIA, München (öffnet im neuen Fenster)

Konkret befindet sich die Sicherheitslücke in Code, der die nicht bereinigte Funktion tarfile.extract() oder die eingebauten Standardwerte von tarfile.extractall() verwendet. Mit diesen lassen sich Tar-Archive entpacken.

Bei der Schwachstelle handelt es sich um einen Path Traversal. Mit diesem kann der Zielordner der zu entpackenden Datei geändert werden. So lassen sich beispielsweise Dateien überschreiben und dadurch eventuell auch Code ausführen.

350.000 Projekte betroffen - Patches für 11.000 erstellt

Die Sicherheitsfirma Trellix entdeckte das Problem Anfang des Jahres bei einer Untersuchung erneut und überprüfte anschließend manuell 257 Projekte auf Github, bei denen die Wahrscheinlichkeit bestand, dass die Repositories verwundbar sind. Dabei enthielten 175 die Sicherheitslücke.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

"Mit der Hilfe von Github waren wir in der Lage, einen viel größeren Datensatz zu erhalten, der 588.840 einzigartige Repositories enthält, die 'import tarfile' in ihrem Python-Code enthalten," schreibt Trellix.

Ausgehend von der manuell überprüften Schwachstellenquote von 61 Prozent schätzt Trellix, dass es mehr als 350.000 anfällige Repositories gibt. 11.000 Repositories wurden von Trellix geforkt und Patches erstellt. Diese sollen später über Pull Requests in die Hauptprojekte einfließen.

Bisher gibt es laut Bleepingcomputer jedoch keine bekannten Fälle, in denen die Sicherheitslücke aktiv ausgenutzt wurde. Auch in Winrar wurde 2019 eine ähnliche Sicherheitslücke entdeckt , die bereits seit 19 Jahren in dem Packprogramm gesteckt hatte.

Zur Startseite Kommentare

Relevante Themen

SoftwareProgrammiersprachenSoftwareentwicklungSecuritySicherheitslückeDatensicherheit