Une vulnérabilité dans les fichiers tar de Python affecte 350 000 projets open-source (CVE-2007-4559)

Le centre de recherche avancée Trellix a publié ses recherches sur CVE-2007-4559, une vulnérabilité dont on estime qu’elle est présente dans plus de 350 000 projets à code source ouvert et répandue dans les projets à code source fermé.

La vulnérabilité se trouve dans le module Python tarfile qui est un module par défaut dans tout projet utilisant Python et que l’on retrouve largement dans les frameworks créés par Netflix, AWS, Intel, Facebook, Google, et les applications utilisées pour l’apprentissage automatique, l’automatisation et la conteneurisation Docker.

La vulnérabilité peut être exploitée en téléchargeant un fichier malveillant généré avec deux ou trois lignes de code simple et permet aux attaquants d’exécuter un code arbitraire ou de prendre le contrôle d’un appareil cible.

« Lorsque nous parlons de menaces pour la chaîne d’approvisionnement, nous faisons généralement référence à des cyber-attaques telles que l’incident de SolarWinds, mais le fait de construire sur des bases de code faibles peut avoir un impact tout aussi grave », a déclaré Christiaan Beek, responsable de la recherche sur les adversaires et les vulnérabilités chez Trellix.

Les outils de développement à code source ouvert, comme Python, sont nécessaires pour faire progresser l’informatique et l’innovation, et la protection contre les vulnérabilités connues nécessite la collaboration de l’industrie.

Les chercheurs s’efforcent de diffuser le code par l’intermédiaire d’une demande d’extraction GitHub afin de protéger les projets open-source contre cette vulnérabilité.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.