Gammel sårbarhed dukket op i Python-modul – kan udnyttes med få kodelinjer

Programmeringssproget Python bliver brugt af programmører i hele verden, og nu er en 15 år gammel sårbarhed dukket op.

Artikel top billede

(Foto: Computerworld)

Af Lars Bennetzen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Det er ikke kun i operativsystemer og apps, at der er sårbarheder. Det udbredte programmeringssprog Python er netop blevet ramt af en sårbarhed – eller rettere: Ramt af en 15 år gammel sårbarhed gemt i et af de moduler, Python er bygget op af.

Det er forskere på Trellix Advanced Center, der har fandt sårbarheden i onsdags, og de oplyser, at hundredtusindvis af repositories er blevet udsat for sårbarheden.

Sårbarheden er fundet i Pythons tarfile-modul, og hvad forskerne først troede var en zero day-sårbarhed, viser sig at være sårbarheden ved navn CVE-2007-4559, der først blev fundet tilbage i 2007 – som navnet også antyder.

Sårbarheden slår til, når TAR-arkiver pakkes ud, og gør det muligt for en angriber at overskrive tilfældige filer, ved at tilføje sekvensen ”…” til TAR-arkivets filnavn.

Blot seks linjer kode

TAR-filer er en samling af forskellige filer og metadata der bruges til at pakke en TAR-fil ud. Muligheden for at ændre på navnet kan hackerne også ændre på der, hvor filen skal pakkes ud. Samtidig kan TAR-fil-modulet også give brugeren mulighed for at ændre filens metadata, før den bliver føjet til TAR-arkivet. Herved kan angriberne skabe nye sårbarheder med så lidt som seks linjer af kode, fortæller forskerne fra Trellix Advanced Research Center i en pressemeddelelse.

Forskerne skriver også i en meddelelse, at sårbarheden er utrolig let at udnytte, og at den kræver ganske lidt kendskab om sikkerhed. Ifølge forskerne er der dog fuld gang i at patche Python-systemer både i open source-miljøer og i closed source-verdenen. Men de konstaterer også ganske naturligt, at det haster med at få lukket dette 15 år gamle hul så hurtigt som muligt.

Event: Platform X 2027: Forretning, teknologi og transformation

It-løsninger |

Mød verdens stærkeste og mest effektive platforme der driver den digitale transformation samlet i København - og dyk ned i den nyeste teknologi.

27 maj 2027 | Gratis deltagelse

Navnenyt fra it-Danmark

WITRICS A/S har pr. 1. juli 2026 ansat Tim Meicker som Sales & Marketing Manager. Han skal især beskæftige sig med marketingstrategi, salgsaktiviteter, samt virksomhedens kommercielle vækst. Han kommer fra en stilling som projektansat hos WITRICS A/S. Han er uddannet BA (hons) Strategic Management og MBA fra Syddansk Universitet. Nyt job

Tim Meicker

WITRICS A/S

Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

Claus Berg

Netip A/S

Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

Dan Toft

Pinksky ApS

IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

Sarah Warm

IFS Danmark A/S