Eine Sicherheitslücke im Python-Paket "tarfile" stellt eine Bedrohung für weiterhin als 350․000 quelloffene Projekte dar. Die Schwachstelle ist seit 15 Jahren bekannt und ermöglicht es Angreifern, Dateien zu überschreiben. Auch zahlreiche Closed-Source-Projekte sind davon betroffen. Das IT-Security-Unternehmen Trellix hat die Lücke wiederentdeckt und empfiehlt den Entwicklern, sie schnellstmöglich zu beheben.
15-jährige Lücke erlaubt das Überschreiben von Dateien
Seit 2007 ist die Sicherheitslücke CVE-2007-4559 bekannt die es Angreifern ermöglicht schadhaften Code auszuführen indem sie Dateien überschreiben. Die Schwachstelle betrifft nicht nur quelloffene, allerdings ebenfalls Closed-Source-Projekte. Der einzige Schutzmechanismus bestand bisher in einer aktualisierten Dokumentation die vor dem Extrahieren von Archiven aus nicht vertrauenswürdigen Quellen warnt. Die Forscher von Trellix haben die Lücke bei der Untersuchung eines anderen Sicherheitsproblems wiederentdeckt.
Das Python-Paket "tarfile" im Fokus der Schwachstelle
Die Sicherheitslücke in Python betrifft das Paket "tarfile", das einen Fehler enthält der es unbefugten Personen ermöglicht, beliebige Dateien zu überschreiben. Der Forscher Kasimir Schulz zeigt in einem Blog-Beitrag und einem Video, ebenso wie das Ausnutzen der Lücke in der Windows-Version der Spyder IDE und im IT-Infrastrukturverwaltungsdienst Polemarch für Linux und Docker funktioniert.
Über 350․000 Projekte sind potenziell bedroht
Die Sicherheitslücke betrifft laut einer stichprobenartigen Analyse der Trellix-Forscher 61% der untersuchten 257 Repositorys und dadurch auch zahlreiche weitere Projekte auf Python-Basis. In Zusammenarbeit mit GitHub konnte das Team 588․840 einzigartige Repositorys finden, die welche Anweisung "import tarfile" enthalten. Kombiniert mit der ermittelten Schwachstellenrate von 61% dürften mehr als 350․000 Projekte potenziell angreifbar sein.
Insbesondere anfällig sind Tools für maschinelles Lernen die oft auf den Quellcode anderer Repositorys angewiesen sind. Trellix hat bereits Patches für mehr als 11․000 Python-Projekte bereitgestellt und erwartet in den nächsten Wochen Korrekturen für weitere 70․000 Softwareprojekte. Es wird jedoch schwierig sein die 100%-Marke zu erreichen, da die Maintainer der betroffenen Repositorys die zugehörigen Merge Requests akzeptieren müssen.
Kommentare
Die Sicherheitslücke in Python stellt eine ernsthafte Bedrohung für unzählige Projekte dar. Entwickler sollten die Lücke schnellstmöglich patchen um die Sicherheit ihrer Software zu gewährleisten. Vor allem im Bereich des maschinellen Lernens sind besonders gefährdete Projekte betroffen, da eine einzige Schwachstelle sich auf Tausende von anderen Repositorys auswirken kann. Es bleibt zu hoffen · dass die erforderlichen Korrekturen schnellstmöglich umgesetzt werden · um die Bedrohung zu minimieren.