Gammel sårbarhed dukket op i Python-modul – kan udnyttes med få kodelinjer

Programmeringssproget Python bliver brugt af programmører i hele verden, og nu er en 15 år gammel sårbarhed dukket op.

Artikel top billede

(Foto: Computerworld)

Af Lars Bennetzen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Det er ikke kun i operativsystemer og apps, at der er sårbarheder. Det udbredte programmeringssprog Python er netop blevet ramt af en sårbarhed – eller rettere: Ramt af en 15 år gammel sårbarhed gemt i et af de moduler, Python er bygget op af.

Det er forskere på Trellix Advanced Center, der har fandt sårbarheden i onsdags, og de oplyser, at hundredtusindvis af repositories er blevet udsat for sårbarheden.

Sårbarheden er fundet i Pythons tarfile-modul, og hvad forskerne først troede var en zero day-sårbarhed, viser sig at være sårbarheden ved navn CVE-2007-4559, der først blev fundet tilbage i 2007 – som navnet også antyder.

Sårbarheden slår til, når TAR-arkiver pakkes ud, og gør det muligt for en angriber at overskrive tilfældige filer, ved at tilføje sekvensen ”…” til TAR-arkivets filnavn.

Blot seks linjer kode

TAR-filer er en samling af forskellige filer og metadata der bruges til at pakke en TAR-fil ud. Muligheden for at ændre på navnet kan hackerne også ændre på der, hvor filen skal pakkes ud. Samtidig kan TAR-fil-modulet også give brugeren mulighed for at ændre filens metadata, før den bliver føjet til TAR-arkivet. Herved kan angriberne skabe nye sårbarheder med så lidt som seks linjer af kode, fortæller forskerne fra Trellix Advanced Research Center i en pressemeddelelse.

Forskerne skriver også i en meddelelse, at sårbarheden er utrolig let at udnytte, og at den kræver ganske lidt kendskab om sikkerhed. Ifølge forskerne er der dog fuld gang i at patche Python-systemer både i open source-miljøer og i closed source-verdenen. Men de konstaterer også ganske naturligt, at det haster med at få lukket dette 15 år gamle hul så hurtigt som muligt.

Annonceindlæg fra Bluecircle

Partiklerne ingen taler om: Den oversete risiko i datacentre og serverrum

Støv, fibre og metalliske partikler kan påvirke både uptime, levetid og driftssikkerhed. Derfor arbejder flere datacentre systematisk med contamination control.

Navnenyt fra it-Danmark

Trafikstyrelsen har pr. 1. maj 2026 ansat Nihad Hodzic som IT og Digitaliseringschef. Han skal især beskæftige sig med med IT-projekter og digital transformation, herunder især det strategiske løft af Trafikstyrelsens digitale niveau. Han kommer fra en stilling som Kontorchef hos Udviklings og Forenklingsstyrelsen. Han er uddannet i statskundskab og har en lederuddannelse fra MIT Sloan, samt en igangværende Master i IT-Ledelse. Han har tidligere beskæftiget sig med IT-udvikling og større projekter på momsområdet, hvor han har ledet et projekt- og udviklingskontor. Nyt job

Nihad Hodzic

Trafikstyrelsen

IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

Lasse Hounsgaard

IFS Danmark A/S

Freja Egelund Grønnemose, junior automation developer hos WITRICS A/S, har pr. 16. juni 2026 fuldført uddannelsen diplomingeniør i softwareteknologi (B.Eng Software Technology) på Danmarks Tekniske Universitet - DTU. Færdiggjort uddannelse