Support technique
Documentation
Connexion
Nous contacter
Treliix corrige 62 000 projets open-source vulnérables à une faille vieille de 15 ans
Le 8 février 2023 - L'équipe de relations publiques de TuxCare
Selon l'équipe de recherche de Trellix, elle a corrigé près de 62 000 projets open-source qui étaient vulnérables à une vulnérabilité de traversée de chemin vieille de 15 ans dans l'écosystème de programmation Python.
L'organisation a déclaré que la vulnérabilité CVE-2007-4559, qui est présente dans les systèmes Python depuis plus de 15 ans, mettait en danger environ 350 000 projets open source. La vulnérabilité de traversée de chemin, qui a été largement découverte dans les cadres développés par AWS, Facebook, Google et Intel, a le potentiel de permettre aux acteurs de la menace d'écraser des fichiers arbitraires, ce qui peut conduire à l'annulation et au contrôle des dispositifs.
Depuis la découverte en septembre, Trellix a patché 61 895 projets via la plateforme de développement de logiciels GitHub, les travaux étant dirigés par Kasimir Schulz et Charles McFarland.
Trellix a déclaré que son équipe avait été inspirée par la conférence DEFCON 2022 de Jonathan Leitschuh sur la correction des vulnérabilités à grande échelle. L'équipe du centre de recherche avancée sur les vulnérabilités a pu automatiser la majorité des processus, à l'exception du contrôle qualité. Elle a également divisé le processus en deux étapes : l'application de correctifs et les demandes de retrait, qui étaient toutes deux automatisées et ne nécessitaient qu'une exécution.
"GitHub a été un excellent partenaire dans ce processus", a déclaré Trellox. "Après avoir reçu une liste de dépôts et de fichiers contenant le mot-clé "import tarfile", notre équipe a pu dresser une liste unique de dépôts à analyser. Nous n'aurions pas pu mener à bien cet effort de grande envergure sans la livraison rapide de données exploitables par GitHub."
Après avoir reçu la liste, l'équipe a utilisé Creosote, un outil gratuit qu'elle a créé pour permettre aux développeurs de vérifier si leurs applications sont vulnérables, afin de déterminer quels dépôts devaient être corrigés. Après avoir identifié un dépôt vulnérable, l'équipe a corrigé le fichier et créé un patch diff local pour que les utilisateurs puissent comparer les deux fichiers. L'équipe est ensuite passée à la phase de demande de modification, en examinant d'abord la liste des différences de correctifs locaux, puis en créant une fourche pour le dépôt sur GitHub. Si le fichier original n'avait pas été modifié après avoir cloné la fourche, ils l'ont remplacé par le fichier corrigé.
Le module tarfile vulnérable est inclus dans le paquetage de base de Python et constitue une solution facilement disponible pour un problème courant ; cependant, il est aussi fermement ancré dans la chaîne d'approvisionnement de nombreux projets en l'absence d'un correctif direct de Python.
Les sources de cette pièce comprennent un article dans SCmagazine.
