Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Treliix behebt 62.000 Open-Source-Projekte, die für eine 15 Jahre alte Schwachstelle anfällig sind
Februar 8, 2023 - TuxCare PR Team
Nach Angaben des Trellix-Forschungsteams haben sie fast 62.000 Open-Source-Projekte gepatcht, die durch eine 15 Jahre alte Path-Traversal-Schwachstelle im Python-Programmier-Ökosystem verwundbar waren.
Die Organisation erklärte, dass die Sicherheitslücke CVE-2007-4559, die seit über 15 Jahren in Python-Systemen vorhanden ist, schätzungsweise 350.000 Open-Source-Projekte gefährdet. Die Path Traversal-Schwachstelle, die in Frameworks von AWS, Facebook, Google und Intel entdeckt wurde, kann es Bedrohungsakteuren ermöglichen, beliebige Dateien zu überschreiben, was zu einer Übersteuerung und Kontrolle von Geräten führen kann.
Seit der Entdeckung im September hat Trellix 61.895 Projekte über die Softwareentwicklungsplattform GitHub gepatcht, wobei die Arbeit von Kasimir Schulz und Charles McFarland geleitet wurde.
Trellix gab an, dass sein Team durch Jonathan Leitschuhs DEFCON 2022-Vortrag über die Behebung von Sicherheitslücken in großem Maßstab inspiriert wurde, die Schwachstellen zu patchen. Das Team des Advanced Research Center für Schwachstellen konnte die meisten Prozesse automatisieren, mit Ausnahme der Qualitätskontrolle. Und es teilte den Prozess in zwei Schritte auf: Patching und Pull Requests, die beide automatisiert waren und nur noch ausgeführt werden mussten.
"GitHub war ein großartiger Partner in diesem Prozess", so Trellox. "Nachdem wir eine Liste von Repositories und Dateien erhalten hatten, die das Schlüsselwort "import tarfile" enthielten, war unser Team in der Lage, eine eindeutige Liste der zu überprüfenden Repositories zusammenzustellen. Ohne die schnelle Lieferung von verwertbaren Daten von GitHub hätten wir diese groß angelegte Aktion nicht durchführen können."
Nachdem das Team die Liste erhalten hatte, nutzte es Creosote, ein kostenloses Tool, das es für Entwickler entwickelt hat, um zu prüfen, ob ihre Anwendungen verwundbar sind, und um festzustellen, welche Repositories gepatcht werden müssen. Nachdem das Team ein verwundbares Repository identifiziert hatte, patchte es die Datei und erstellte einen lokalen Patch Diff, damit die Benutzer die beiden Dateien vergleichen konnten. Anschließend ging das Team zur Pull-Request-Phase über, indem es zunächst eine Liste der lokalen Patch-Diffs durchging und dann das Repository auf GitHub forkte. Wenn sich die Originaldatei nach dem Klonen des Forks nicht geändert hatte, wurde sie durch die gepatchte Datei ersetzt.
Das verwundbare tarfile-Modul ist im Python-Basispaket enthalten und stellt eine leicht verfügbare Lösung für ein häufig auftretendes Problem dar; es ist jedoch auch fest in die Versorgungskette vieler Projekte eingebettet, da es keinen direkten Fix von Python gibt.
Zu den Quellen für diesen Beitrag gehört ein Artikel im SCmagazine.
