Gammel sårbarhed dukket op i Python-modul – kan udnyttes med få kodelinjer

Programmeringssproget Python bliver brugt af programmører i hele verden, og nu er en 15 år gammel sårbarhed dukket op.

Artikel top billede

(Foto: Computerworld)

Af Lars Bennetzen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Det er ikke kun i operativsystemer og apps, at der er sårbarheder. Det udbredte programmeringssprog Python er netop blevet ramt af en sårbarhed – eller rettere: Ramt af en 15 år gammel sårbarhed gemt i et af de moduler, Python er bygget op af.

Det er forskere på Trellix Advanced Center, der har fandt sårbarheden i onsdags, og de oplyser, at hundredtusindvis af repositories er blevet udsat for sårbarheden.

Sårbarheden er fundet i Pythons tarfile-modul, og hvad forskerne først troede var en zero day-sårbarhed, viser sig at være sårbarheden ved navn CVE-2007-4559, der først blev fundet tilbage i 2007 – som navnet også antyder.

Sårbarheden slår til, når TAR-arkiver pakkes ud, og gør det muligt for en angriber at overskrive tilfældige filer, ved at tilføje sekvensen ”…” til TAR-arkivets filnavn.

Blot seks linjer kode

TAR-filer er en samling af forskellige filer og metadata der bruges til at pakke en TAR-fil ud. Muligheden for at ændre på navnet kan hackerne også ændre på der, hvor filen skal pakkes ud. Samtidig kan TAR-fil-modulet også give brugeren mulighed for at ændre filens metadata, før den bliver føjet til TAR-arkivet. Herved kan angriberne skabe nye sårbarheder med så lidt som seks linjer af kode, fortæller forskerne fra Trellix Advanced Research Center i en pressemeddelelse.

Forskerne skriver også i en meddelelse, at sårbarheden er utrolig let at udnytte, og at den kræver ganske lidt kendskab om sikkerhed. Ifølge forskerne er der dog fuld gang i at patche Python-systemer både i open source-miljøer og i closed source-verdenen. Men de konstaterer også ganske naturligt, at det haster med at få lukket dette 15 år gamle hul så hurtigt som muligt.

Læses lige nu

    Event: Platform X 2027: Forretning, teknologi og transformation

    It-løsninger |

    Mød verdens stærkeste og mest effektive platforme der driver den digitale transformation samlet i København - og dyk ned i den nyeste teknologi.

    27 maj 2027 | Gratis deltagelse

    Navnenyt fra it-Danmark

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    netIP har pr. 1. juni 2026 ansat Heidi Winther som Supportkonsulent ved netIP's kontor i Herning. Hun kommer fra en stilling som IT-Supporter hos Holstebro Kommune. Nyt job
    Netip A/S har pr. 1. juni 2026 ansat Kristina Svingel Jeppesen som bogholder ved netIP's kontor i Thisted. Hun kommer fra en stilling som Kontorassistent hos DFI Geisler. Nyt job
    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect