En hidtil uopdaget sårbarhed et modul i det vidt udbredte programmeringsværktøj Python kan være indarbejdet i mindst 350.000 open source-projekter gennem de seneste mange år.
Sårbarheden har stået åben i 15 år uden at være blevet opdaget.
Gennem alle disse år er modulet, hvori den findes blevet anvendt i hundredetusindevis af open source-projektet.
Sårbarheden findes i det såkaldte Tarfile-modul, som i Python anvendes til at læse og skrive komprimerede fil-pakker - de såkaldte tar archives.
Sårbarheden er blevet opdaget af sikkerhedsselskabet Trellix, der i første omgang troede, at der var tale om en 0-dags sårbarhed.
Det viste sig i stedet at være en 5.500 dags-sårbarhed, som kan dateres helt tilbage til 24. august 2007.
Den har fået navnet CVE-2007-4559, og du kan læse mere om den her.
Trellix har bygget et gratis værktøj med navnet Creosote, som man kan anvende til at skanne efter sårbarheden i sine open source-projekter.
Du finder Creosote på GitHub her.
Ifølge Trellix findes den i mere end 350.000 open source-projekter og det samme antal closed-source-projekter.’
Tarfile er default-modul i Python og anvendes i blandt andet frameworks hos AWS, Facebook, Google og Intel og i en række applikationer til machine learning og automatisering samt i Docker-containere.
