15 år gammel sårbarhed opdaget i Python: Flere hundrede tusinder open source-projekter ramt

Mindst 350.000 open source-projekter kan være ramt af sårbarhed i et Python-modul, som har stået åbent i 15 år.

Artikel top billede

(Foto: Dan Jensen)

En hidtil uopdaget sårbarhed et modul i det vidt udbredte programmeringsværktøj Python kan være indarbejdet i mindst 350.000 open source-projekter gennem de seneste mange år.

Sårbarheden har stået åben i 15 år uden at være blevet opdaget.

Gennem alle disse år er modulet, hvori den findes blevet anvendt i hundredetusindevis af open source-projektet.

Sårbarheden findes i det såkaldte Tarfile-modul, som i Python anvendes til at læse og skrive komprimerede fil-pakker - de såkaldte tar archives.

Sårbarheden er blevet opdaget af sikkerhedsselskabet Trellix, der i første omgang troede, at der var tale om en 0-dags sårbarhed.

Det viste sig i stedet at være en 5.500 dags-sårbarhed, som kan dateres helt tilbage til 24. august 2007.

Den har fået navnet CVE-2007-4559, og du kan læse mere om den her.

Trellix har bygget et gratis værktøj med navnet Creosote, som man kan anvende til at skanne efter sårbarheden i sine open source-projekter.

Du finder Creosote på GitHub her.

Ifølge Trellix findes den i mere end 350.000 open source-projekter og det samme antal closed-source-projekter.’

Tarfile er default-modul i Python og anvendes i blandt andet frameworks hos AWS, Facebook, Google og Intel og i en række applikationer til machine learning og automatisering samt i Docker-containere.

Navnenyt fra it-Danmark

Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

Jeppe Spanggaard

Pinksky ApS

Immeo har pr. 16. marts 2026 ansat Honey Arora som Senior Manager. Han kommer fra en stilling som Data Product Owner hos Centrica Energy. Nyt job

Honey Arora

Immeo

Pentos har pr. 2. juni 2025 ansat Jonas Kyhnau som Seniorkonsulent. Han skal især beskæftige sig med at rådgive virksomheder om HR digitalisering og implementering af SAP SuccessFactors og SmartRecruiters. Han kommer fra en stilling som Seniorkonsulent og PMO lead hos Gavdi. Han er uddannet Cand.merc Human Resource Management fra Copenhagen Business School. Han har tidligere beskæftiget sig med med Onboarding, Employee Central (Core HR). Nyt job

Jonas Kyhnau

Pentos

Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

Mikkel Bernt Buchvardt

Elbek & Vejrup A/S