Python: 15 Jahre alte Schwachstelle betrifft potenziell 350.000 Projekte

Das Cybersecurity-Unternehmen Trellix hat eine fünfzehn Jahre alte Schwachstelle in einem Python-Modul entdeckt. Das auf die Verarbeitung von tar-Dateien ausgelegte tarfile-Modul ist in den Methoden zum Entpacken für Directory-Traversal-Attacken anfällig.

Laut den Angaben von Trellix, das Anfang 2022 aus der Zusammenführung von McAfee und FireEye entstanden ist, glaubten die Security-Forscher zunächst, auf eine Zero-Day-Lücke gestoßen zu sein. Sie haben die Schwachstelle offenbar zufällig entdeckt, als sie eine davon unabhängige Vulnerability untersucht haben. Die vermeintlich neue Schwachstelle hat allerdings einen CVE-Eintrag (Common Vulnerabilities and Exposures), der auf das Jahr 2007 zurück geht.

Quelle: Python: 15 Jahre alte Schwachstelle betrifft potenziell 350.000 Projekte | heise online