En bref: Le langage de programmation Python est affecté par des problèmes de sécurité que les programmeurs connaissent depuis un certain temps. Les chercheurs de Trellix ont récemment redécouvert un bogue, soulignant le risque pour des centaines de milliers de projets logiciels et créant des correctifs pour des dizaines de milliers d’entre eux.
Étant l’un des langages de programmation les plus populaires au monde, Python est à la fois une opportunité et un risque pour les programmes et la chaîne d’approvisionnement des logiciels open source. Exemple : des chercheurs redécouvrent une faille de sécurité cachée dans Python depuis 15 ans. Le bogue « fonctionne par conception », du moins selon les développeurs Python ; d’autres pensent autrement et s’efforcent de fournir un correctif aux projets concernés.
Découvert pour la première fois en 2007 et répertorié comme CVE-2007-4559la vulnérabilité se situe dans module de fichier tar qui est utilisé par les programmes Python pour lire et écrire des archives Tar. Le problème est une traversée de chemin de bogue qui pourrait être exploitée pour écraser des fichiers arbitraires sur le système, conduisant ainsi à une éventuelle exécution de code malveillant.
Depuis le compte-rendu initial publiée il y a 15 ans, la vulnérabilité tarfile n’a reçu aucun correctif ni correctif – juste un avertissement sur le risque existant. Pour être juste, il n’y a eu aucun rapport d’attaques et de menaces de sécurité capables d’exploiter CVE-2007-4559.
Cependant, un rappel sur la faille a été récemment édité par Trellix. En enquêtant sur une vulnérabilité non liée, les chercheurs ont déclaré être tombés sur l’ancien bogue du module tarfile.
https://www.youtube.com/watch?v=jqs8S51_FRg
Tout en discutant de la question sur le Traqueur de bogues Python, les développeurs ont une fois de plus conclu que CVE-2007-4559 n’est pas un bogue : « tarfile.py ne fait rien de mal », ont déclaré les développeurs, et il n’y a « aucun exploit pratique connu ou possible ». La documentation officielle de Python a été mise à jour une fois de plus, avec un avertissement sur le danger possible lié à l’extraction d’archives à partir de sources non fiables.
Les chercheurs de Trellix, cependant, ont un point de vue complètement différent sur la question : CVE-2007-4559 est en effet une vulnérabilité de sécurité, ont-ils déclaré. Pour preuve, les chercheurs ont décrit et démontré un exploit simple exploitant la faille de l’environnement de développement Spyder pour la programmation scientifique.
Trellix a également examiné l’omniprésence de CVE-2007-4559, analysant à la fois les projets open source et fermés. Ils ont initialement trouvé un taux de vulnérabilité de 61 % dans 257 référentiels de code différents, augmentant le pourcentage à 65 % après une vérification automatisée et analysant finalement un ensemble de données plus vaste de 588 840 référentiels uniques hébergés sur GitHub.
Tout bien considéré, Trellix estime qu’il pourrait y avoir plus de 350 000 projets vulnérables à CVE-2007-4559, bon nombre de ces projets étant utilisés par des outils d’apprentissage automatique pour aider les développeurs à terminer un projet plus rapidement. Prenant position sur la question, les chercheurs ont déjà créé des correctifs pour environ 11 000 projets et de nombreux autres devraient suivre dans les semaines à venir.