Python 中 tarfile 模块的漏洞影响超过 35 万个开源项目

主要要点

• 超过 350,000 个开源项目受到 Python tarfile 模块 15 年未修复漏洞的影响
• 漏洞编号 CVE-2007-4559，可导致文件覆盖和劫持
• Trellix 正在积极修复相关代码，并已为 11,005 个代码库准备了补丁

近期，Trellix 的研究人员发现，超过 350,000 个开源项目面临一个未解决的漏洞，该漏洞存在于 Python 的 tarfile模块中，已经长达 15 年 。据 报导，漏洞被标记为 CVE-2007-4559 ，攻击者可以利用该漏洞在打开恶意 tar 归档文件时进行文件覆盖和劫持。Trellix 的研究员 Jan Matejek 表示：“这个漏洞是针对 tarfile 模块中 extract 和 extractall 函数的路径遍历攻击，攻击者可以通过向 tar 归档中的文件名添加 '..' 序列来覆盖任意文件。”

Trellix 正在积极修复这一漏洞，致力于提供安全的代码修复。“使用我们的工具，我们目前已经为 11,005 个代码库准备了补丁，准备进行拉取请求。每个补丁将被添加到一个分支库中，并逐步提交拉取请求……鉴于受影响项目的数量，我们预计将在接下来的几周内继续这一过程。到完成时，这一修复计划预计将涵盖 12.06% 的所有受影响项目，超过 70,000 个项目，”Trellix 研究员 Charles McFarland 补充道。

引用： “我们会继续跟踪这一漏洞，确保尽可能多的项目能够获得修复，同时提高开源社区的安全性。”

为了确保你的项目安全，请及时检查使用的 Python 包，并关注相关的更新和修复补丁。维护代码的安全性是开发者不可忽视的重要环节。