Des centaines de milliers d’applications menacées par un bogue Python non corrigé

Plus de 350 000 référentiels de code source ouvert peuvent être compromis car ils incluent un module Python contenant une vulnérabilité non corrigée vieille de 15 ans.

C’est la découverte des chercheurs de Trellix, qui ont déclaré que la vulnérabilité CVE-2007-4559 se trouve dans le module tarfile de Python, qui ne vérifie pas correctement les vulnérabilités de traversée de chemin. Un développeur pourrait par inadvertance inclure la vulnérabilité dans son propre code, disent les chercheurs – et, suggèrent-ils, les développeurs le font depuis des années.

« Aujourd’hui, laissée sans contrôle, cette vulnérabilité a été involontairement ajoutée à des centaines de milliers de projets au code source ouvert ou non dans le monde, créant une surface d’attaque substantielle de la chaîne d’approvisionnement logicielle  », ont déclaré les chercheurs mercredi dernier dans un blog.

La vulnérabilité oubliée depuis longtemps a été découverte alors que les chercheurs enquêtaient sur une vulnérabilité non liée. Alors que la vulnérabilité n’était initialement marquée que comme une gravité de 6,8, les chercheurs ont pu confirmer que dans la plupart des cas, un attaquant peut obtenir l’exécution de code à partir d’une écriture de fichier arbitraire. Pour une compréhension technique détaillée de la CVE et des conséquences techniques d’une attaque, consultez cet article de blog (en anglais).

Avec la coopération de GitHub, les chercheurs ont pu déterminer qu’il y avait environ 2,87 millions de fichiers de code source ouvert contenant le module tarfile de Python dans environ 588 000 référentiels uniques. Parmi ceux-ci, environ 350 000 référentiels ouverts uniques dans un grand nombre d’industries seront vulnérables aux attaques.

L’article de blog note que la documentation Python avertit les développeurs du problème du fichier tar, les exhortant à ne jamais extraire d’archives de sources non fiables sans inspection préalable.

Trellix a créé des outils automatisés pour commencer à publier des correctifs pour le code source ouvert qu’il voit dans GitHub et d’autres sites Web de code. Jusqu’à présent, il a des correctifs pour 11 005 référentiels, prêts pour les demandes d’extraction. Chaque correctif sera ajouté à un dépôt dérivé et une demande d’extraction sera effectuée au fil du temps. Cela aidera les individus et les organisations à prendre conscience du problème et leur donnera une solution en un clic, explique Trellix.

Au cours des prochaines semaines, un peu plus de 12 %, soit environ 70 000 projets, pourraient être corrigés si toutes les demandes d’extraction sont acceptées par les responsables des projets.

« La vraie solution est de s’attaquer à la racine du problème », affirme Charles McFarland, chercheur chez Trellix. « C’est-à-dire des évaluations de sécurité diligentes du code source ouvert et des correctifs en temps opportun. Nous devons nous assurer que nous faisons preuve de diligence raisonnable pour auditer les logiciels à code source ouverts et ne pas laisser de code vulnérable dans la nature pour être exploité. Si cette vulnérabilité de fichier tar est un indicateur, nous sommes terriblement en retard et devons redoubler d’efforts pour garantir la sécurité des logiciels ouverts.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Microsoft publie un correctif pour les contrôleurs de domaine

Microsoft a publié un correctif hors bande pour un...

Cisco identifie des vulnérabilités dans son « Identity Services Engine »

La solution de contrôle d'accès au réseau de Cisco Systems comporte cinq vulnérabilités classées Élevées qui pourraient permettre à un attaquant distant authentifié d'injecter des commandes arbitraires du système d'exploitation, de contourner les protections de sécurité et de mener des attaques de script intersite.

Mise à jour d’OpenSSL pour corriger une vulnérabilité critique

Le projet OpenSSL publiera le 1er novembre un correctif pour une vulnérabilité critique de sa bibliothèque de sécurité open source, un événement rare auquel les développeurs d'applications et les administrateurs système devraient prêter attention.

Une vulnérabilité critique de SAP corrigée il y a des mois maintenant sur la liste des bogues exploités aux États-Unis

Une vulnérabilité critique de SAP qui a été corrigée en février vient d’être ajoutée à la liste des bogues de sécurité exploités d'une cyber-agence du gouvernement américain après avoir été discutée la semaine dernière lors de conférences sur la sécurité, ce qui laisse penser que la faille est actuellement exploitée.

La vulnérabilité Log4J atteint des proportions endémiques, selon un rapport

Chargé d’enquêter sur la vulnérabilité découverte fin 2021 dans la bibliothèque Java Log4J, le Cyber Safety Review Board (CSRB) du Department of Homeland Security (DHS) américain affirme dans un rapport récemment publié que celle-ci restera un danger pendant de nombreuses années.