Python lleva 15 años con un fallo de seguridad sin parchear: ya afecta a miles de proyectos en silencio

Python lleva 15 años con un fallo de seguridad sin parchear: ya afecta a miles de proyectos en silencio
Sin comentarios

Python es un lenguaje de programación que ha ido cogiendo fuerza en los últimos años gracias a las facilidades que tiene a la hora de aplicarlo en el día a día, y también lo fácil que puede ser aprenderlo. Si bien, ni siquiera los lenguajes de programación pueden estar exentos de los fallos de seguridad, como ha ocurrido con Python.

Aunque pueda parecer increíble, este fallo de seguridad fue reportado en 2007 y etiquetado como CVE-2007-4559 y desde ese momento no ha recibido ningún tipo de parche. En concreto, la vulnerabilidad utiliza la función tarfile.extract() que permitiría a cualquier tipo de atacante sobreescribir los archivos de otros proyectos.

Un fallo de seguridad sin parchear desde 2007

Este problema fue analizado por diferentes investigadores que pese a encontrar el informe donde se anunciaba este error, no encontraron la posible solución. En este caso se pusieron a trabajar a detectar finalmente miles de proyectos de software, de código abierto o cerrado.

Tras detectarlo, consiguieron eliminar más de 257 repositorios que tenían muchas posibilidades de integrar el código vulnerable que terminaría sobreescribiendo el contenido de los proyectos de manera fraudulenta. Esto se sumó también a un análisis tanto manual como automático, detectando que el 65% de estos presentaban la vulnerabilidad, aunque con una muestra realmente baja.

Python

En el caso de extrapolar este porcentaje a todos los repositorios, se puede decir que hay un total de 350.000 repositorios vulnerables, siendo la mayoría estando integrados en herramientas de aprendizaje automático.

Todas las herramientas afectadas están automatizadas y por ende usan estos repositorios para ofrecer opciones de completado automático. En el caso de introducir un código completamente inseguro, este se va a integrar en el propio proyecto sin que el desarrollador lo sepa, ya que va a tener libertad absoluta de sobreescribirlo.

De momento, no hay ninguna solución general para todos los repositorios que están afectados debido al gran volumen que existe. Los investigadores van a tratar de lanzar sus propios parches, solucionando este problema en 70.000 proyectos para las próximas semanas. Si bien, este grave problema de Python debería haber sido parcheado desde que se descubrió en 2007, ya que se ha mantenido "oculto" afectando a tantos proyectos.

Vía | Bleeping Computer

Temas
Inicio
Inicio