पंद्रह वर्षीय एन-डे पायथन टैरफाइल मॉड्यूल भेद्यता माइक्रोस्कोप के तहत सॉफ्टवेयर आपूर्ति श्रृंखला रखती है। छवि: मैकिएक/एडोब स्टॉक साइबर सुरक्षा कंपनी ट्रेलिक्स ने बुधवार को घोषणा की कि एक ज्ञात पायथन भेद्यता डालता है ,000 खोलना- स्रोत प्रोजेक्ट और एप्लिकेशन जो डिवाइस के जोखिम में उनका उपयोग करते हैं या दुर्भावनापूर्ण कोड निष्पादन पर कब्जा कर लेते हैं। पायथन टारफाइल मॉड्यूल का उपयोग करने वाले सभी एप्लिकेशन संभावित रूप से जोखिम में हैं। देखें: किराए पर लेना किट: पायथन डेवलपर (TechRepublic Premium)
पायथन टैरफाइल मॉड्यूल, जो है डिफ़ॉल्ट मॉड्यूल पायथन का उपयोग करके किसी भी परियोजना में स्थापित किया गया है और नेटफ्लिक्स, एडब्ल्यूएस, इंटेल, फेसबुक, गूगल और मशीन लर्निंग, ऑटोमेशन और डॉकर कंटेनरीकरण के लिए उपयोग किए जाने वाले अनुप्रयोगों द्वारा बनाए गए ढांचे में व्यापक रूप से पाया जाता है, ट्रेलिक्स ने कहा।
हैकर्स इस भेद्यता का उपयोग करके उपकरणों को ले सकते हैं भेद्यता, सीवीई–4559, मूल रूप से में खोजा गया था और में से 6.8 का मध्यम जोखिम स्कोर दिया गया था। । इसका फायदा उठाया जा सकता है एक दुर्भावनापूर्ण फ़ाइल को अपलोड करके दो या तीन पंक्तियों के कोड के साथ un-sanitized tarfile.extract या tarfile.extractall के बिल्ट-इन डिफॉल्ट का उपयोग करके। एक बार हैक होने के बाद, हमलावर मनमाने कोड निष्पादित कर सकते हैं या डिवाइस पर नियंत्रण कर सकते हैं, ट्रेलिक्स ने कहा।
यह अज्ञात है कि कितने लाइव एप्लिकेशन टैरिफाइल मॉड्यूल का उपयोग करते हैं और नहीं ट्रेलिक्स में भेद्यता अनुसंधान के एक प्रमुख अभियंता और निदेशक डौग मैकी ने कहा, जंगली में भेद्यता का ज्ञात शोषण हुआ है। न ही वह शोषण की तलाश में किसी स्कैनर से अवगत है।
“एक भेद्यता के कारण जो अप्रकाशित हो गया साल पहले एक मुख्य सॉफ्टवेयर आपूर्ति श्रृंखला में, सॉफ्टवेयर के सैकड़ों हजारों टुकड़े आज हमले की चपेट में हैं, जिससे पूरा सिस्टम समझौता हो सकता है, “मैक्की ने कहा। “Log4j की घटनाओं की तरह, प्रत्येक संगठन को यह निर्धारित करने की आवश्यकता होगी कि वे कैसे और कैसे प्रभावित होते हैं, यही कारण है कि हम उस समझ प्रक्रिया में मदद करने के लिए एक स्क्रिप्ट जारी कर रहे हैं।”
संवेदनशील अनुप्रयोगों की जांच के लिए स्क्रिप्ट GitHub पर उपलब्ध है।
कैसे CVE-2007- भेद्यता की फिर से खोज की गई ट्रेलिक्स एडवांस्ड रिसर्च सेंटर के शोधकर्ता कासिमिर शुल्ज, ट्रेलिक्स में एक भेद्यता अनुसंधान प्रशिक्षु, ने एक असंबंधित भेद्यता की जांच करते हुए इस मुद्दे को खोजने में मदद की।
“शुरू में हमें लगा कि हमें एक नया शून्य-दिन भेद्यता मिल गई है,” उन्होंने एक ब्लॉग पोस्ट में कहा। “जैसा कि हमने इस मुद्दे की खोज की, हमें एहसास हुआ कि यह वास्तव में सीवीई- था- ।” सीवीई-2007-4559 टैरफाइल मॉड्यूल में एक्स्ट्रेक्ट और एक्स्ट्रेक्टऑल फ़ंक्शंस में एक पथ ट्रैवर्सल हमला है जो एक हमलावर को जोड़कर मनमानी फ़ाइलों को अधिलेखित करने की अनुमति देता है एक TAR संग्रह में फ़ाइल नामों के लिए “..” अनुक्रम, शुल्ज़ ने कहा। कमजोर थे। गिटहब के साथ काम करते हुए, उन्हें 2. मिलियन ओपन-सोर्स फाइलें मिलीं, जिनमें लगभग ,350 अद्वितीय भंडार – % जिनमें से, या ,350 , टैरिफाइल मॉड्यूल के माध्यम से हमला करने के लिए असुरक्षित थे।
“यह सीवीई की विनाशकारी शक्ति है-2007 – , “मैकी ने कहा। “यह एक प्रोग्रामिंग भाषा में है जो व्यापक रूप से उपयोग की जाती है, इसलिए अंत-उपयोगकर्ता उत्पादों की एक विस्तृत श्रृंखला को प्रभावित करती है।”
हालांकि भेद्यता ज्ञात थी, इसे ट्यूटोरियल के माध्यम से प्रचारित करने की अनुमति दी गई है जो गलत तरीके से प्रदर्शित करता है कि कैसे सुरक्षित रूप से टैरिफाइल मॉड्यूल को तैनात किया जाए। ट्रेलिक्स ने कहा, यहां तक कि पायथन के अपने दस्तावेज भी गलत जानकारी प्रदान करते हैं।
हमले से बचने के लिए कंपनियां क्या कर सकती हैं 3997311 भेद्यता का फायदा उठाने के लिए एक हमलावर को एक दुर्भावनापूर्ण टार फ़ाइल अपलोड करने की आवश्यकता होती है, मैककी ने कहा। हैक होने से बचने के लिए, डेवलपर्स को जांच करने की आवश्यकता है लक्ष्य निर्देशिका जहां टैरिफाइल डेटा लिख रहा है यह सुनिश्चित करने के लिए कि डेटा केवल डेवलपर द्वारा इच्छित निर्देशिका में निकाला गया है।
ट्रेलिक्स कोड को पुश करने के लिए काम कर रहा है ओपन-सोर्स प्रोजेक्ट्स को भेद्यता से बचाने के लिए गिटहब पुल अनुरोध। ट्रेलिक्स में वर्तमान में , के लिए पैच उपलब्ध हैं पुल अनुरोधों के लिए तैयार भंडार। प्रत्येक पैच को फोर्कड रिपोजिटरी में जोड़ा जाएगा।
Be First to Comment