15 år gammel sårbarhed opdaget i Python: Flere hundrede tusinder open source-projekter ramt

Mindst 350.000 open source-projekter kan være ramt af sårbarhed i et Python-modul, som har stået åbent i 15 år.

Artikel top billede

(Foto: Dan Jensen)

En hidtil uopdaget sårbarhed et modul i det vidt udbredte programmeringsværktøj Python kan være indarbejdet i mindst 350.000 open source-projekter gennem de seneste mange år.

Sårbarheden har stået åben i 15 år uden at være blevet opdaget.

Gennem alle disse år er modulet, hvori den findes blevet anvendt i hundredetusindevis af open source-projektet.

Sårbarheden findes i det såkaldte Tarfile-modul, som i Python anvendes til at læse og skrive komprimerede fil-pakker - de såkaldte tar archives.

Sårbarheden er blevet opdaget af sikkerhedsselskabet Trellix, der i første omgang troede, at der var tale om en 0-dags sårbarhed.

Det viste sig i stedet at være en 5.500 dags-sårbarhed, som kan dateres helt tilbage til 24. august 2007.

Den har fået navnet CVE-2007-4559, og du kan læse mere om den her.

Trellix har bygget et gratis værktøj med navnet Creosote, som man kan anvende til at skanne efter sårbarheden i sine open source-projekter.

Du finder Creosote på GitHub her.

Ifølge Trellix findes den i mere end 350.000 open source-projekter og det samme antal closed-source-projekter.’

Tarfile er default-modul i Python og anvendes i blandt andet frameworks hos AWS, Facebook, Google og Intel og i en række applikationer til machine learning og automatisering samt i Docker-containere.

Event: Computerworld Cloud & AI Festival 2026

Digital transformation | Ballerup

Eksplosiv udvikling i cloud og AI kræver overblik og viden. Computerworld samler 3.000 it-professionelle, 70+ leverandører og 120+ talere om AI, infrastruktur, data, compliance og sikkerhed. To dage med viden og netværk. Tilmeld dig nu.

16 & 17 september 2026 | Gratis deltagelse

Navnenyt fra it-Danmark

Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

Iver Jakobsen

Comsystem A/S

Netip A/S har pr. 1. maj 2026 ansat Steffen Bendix Søjberg som Systemkonsulent ved netIP's kontor i Rødekro. Han kommer fra en stilling som Systemadministr,og har været i branchen i mange år. Nyt job
Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse
Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

Kari Lehtimäki

Den danske eID-virksomhed Idura