Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Treliix corrige 62.000 proyectos de código abierto vulnerables a un fallo de hace 15 años
8 de febrero de 2023 - Equipo de RRPP de TuxCare
Según el equipo de investigación de Trellix, han parcheado cerca de 62.000 proyectos de código abierto que eran vulnerables a una vulnerabilidad de 15 años de antigüedad en el ecosistema de programación Python.
La organización declaró que la vulnerabilidad CVE-2007-4559, presente en los sistemas Python desde hace más de 15 años, ponía en peligro unos 350.000 proyectos de código abierto. La vulnerabilidad path traversal, que ha sido ampliamente descubierta en marcos desarrollados por AWS, Facebook, Google e Intel, tiene el potencial de permitir a los actores de amenazas sobrescribir archivos arbitrarios, lo que podría conducir a la anulación y el control de dispositivos.
Desde el descubrimiento en septiembre, Trellix ha parcheado 61.895 proyectos a través de la plataforma de desarrollo de software GitHub, con el trabajo dirigido por Kasimir Schulz y Charles McFarland.
Trellix dijo que su equipo se inspiró para parchear las vulnerabilidades en la charla de Jonathan Leitschuh en DEFCON 2022 sobre la solución de vulnerabilidades a escala. El equipo de vulnerabilidades de su Centro de Investigación Avanzada fue capaz de automatizar la mayoría de los procesos, a excepción del control de calidad. Y dividió el proceso en dos pasos: la aplicación de parches y las pull requests, ambos automatizados y que sólo necesitaban ser ejecutados.
"GitHub fue un gran aliado en este proceso", afirma Trellox. "Después de recibir una lista de repositorios y archivos que contenían la palabra clave "import tarfile", nuestro equipo pudo compilar una lista única de repositorios para escanear. No podríamos haber ejecutado este esfuerzo a gran escala sin la rápida entrega de datos procesables de GitHub."
Tras recibir la lista, el equipo utilizó Creosote, una herramienta gratuita que crearon para que los desarrolladores comprobaran si sus aplicaciones eran vulnerables, para determinar qué repositorios necesitaban parches. Tras identificar un repositorio vulnerable, el equipo parcheó el archivo y creó un parche local diff para que los usuarios pudieran comparar los dos archivos. A continuación, el equipo pasó a la fase de pull request, revisando primero una lista de los parches locales y luego haciendo un fork del repositorio en GitHub. Si el archivo original no había cambiado tras clonar la bifurcación, lo sustituían por el archivo parcheado.
El módulo tarfile vulnerable está incluido en el paquete base de Python y es una solución fácilmente disponible para un problema común; sin embargo, también está firmemente incrustado en la cadena de suministro de muchos proyectos en ausencia de una solución directa de Python.
Las fuentes de este artículo incluyen un artículo en SCmagazine.
