{"id":378017,"date":"2022-09-22T20:11:36","date_gmt":"2022-09-22T22:11:36","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-vulnerabilite-python-non-corrigee-vieille-de-15-ans-affecte-potentiellement-plus-de-350-000-projets\/"},"modified":"2022-09-22T20:11:37","modified_gmt":"2022-09-22T22:11:37","slug":"une-vulnerabilite-python-non-corrigee-vieille-de-15-ans-affecte-potentiellement-plus-de-350-000-projets","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-vulnerabilite-python-non-corrigee-vieille-de-15-ans-affecte-potentiellement-plus-de-350-000-projets\/","title":{"rendered":"Une vuln\u00e9rabilit\u00e9 Python non corrig\u00e9e vieille de 15 ans affecte potentiellement plus de 350 000 projets"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Pas moins de 350 000 projets open source seraient potentiellement vuln\u00e9rables \u00e0 l&#8217;exploitation en raison d&#8217;une faille de s\u00e9curit\u00e9 dans un module Python qui n&#8217;a pas \u00e9t\u00e9 corrig\u00e9 depuis 15 ans.<\/p>\n<p>Les r\u00e9f\u00e9rentiels open source couvrent un certain nombre de secteurs verticaux, tels que le d\u00e9veloppement de logiciels, l&#8217;intelligence artificielle\/apprentissage automatique, le d\u00e9veloppement Web, les m\u00e9dias, la s\u00e9curit\u00e9, la gestion informatique.<\/p>\n<p>La lacune, suivie comme <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2007-4559\" target=\"_blank\">CVE-2007-4559<\/a> (score CVSS\u00a0: 6,8), est enracin\u00e9 dans le module tarfile, dont l&#8217;exploitation r\u00e9ussie pourrait conduire \u00e0 l&#8217;ex\u00e9cution de code \u00e0 partir d&#8217;une \u00e9criture de fichier arbitraire.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>&#8220;La vuln\u00e9rabilit\u00e9 est une attaque de travers\u00e9e de chemin dans les fonctions d&#8217;extraction et d&#8217;extraction du module tarfile qui permet \u00e0 un attaquant d&#8217;\u00e9craser des fichiers arbitraires en ajoutant la s\u00e9quence &#8216;..&#8217; aux noms de fichiers dans une archive TAR&#8221;, a d\u00e9clar\u00e9 Kasimir Schulz, chercheur en s\u00e9curit\u00e9 chez Trellix. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trellix.com\/en-us\/about\/newsroom\/stories\/threat-labs\/tarfile-exploiting-the-world.html\" target=\"_blank\">a dit<\/a> dans une r\u00e9daction.<\/p>\n<p>Initialement divulgu\u00e9 en ao\u00fbt 2007, le bogue a \u00e0 voir avec la fa\u00e7on dont une archive tar sp\u00e9cialement con\u00e7ue peut \u00eatre exploit\u00e9e pour \u00e9craser des fichiers arbitraires sur une machine cible simplement \u00e0 l&#8217;ouverture du fichier.<\/p>\n<p><iframe loading=\"lazy\" title=\"Polemarch Demo Video\" width=\"640\" height=\"360\" src=\"https:\/\/www.youtube.com\/embed\/bpVmMlUgPJM?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p>\n<p>En termes simples, un acteur malveillant peut exploiter la faiblesse en t\u00e9l\u00e9chargeant un fichier tar malveillant d&#8217;une mani\u00e8re qui permet d&#8217;\u00e9chapper au r\u00e9pertoire dans lequel un fichier est destin\u00e9 \u00e0 \u00eatre extrait et d&#8217;ex\u00e9cuter du code, permettant \u00e0 l&#8217;adversaire de prendre potentiellement le contr\u00f4le d&#8217;une cible. dispositif.<\/p>\n<p>&#8220;N&#8217;extrayez jamais d&#8217;archives \u00e0 partir de sources non fiables sans inspection pr\u00e9alable&#8221;, la documentation Python pour tarfile <a rel=\"nofollow noopener\" href=\"https:\/\/docs.python.org\/3\/library\/tarfile.html\" target=\"_blank\">lit<\/a>.  &#8220;Il est possible que des fichiers soient cr\u00e9\u00e9s en dehors du chemin, par exemple des membres dont les noms de fichiers absolus commencent par &#8220;https:\/\/thehackernews.com\/&#8221; ou des noms de fichiers avec deux points &#8216;&#8230;&#8217;.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>La vuln\u00e9rabilit\u00e9 rappelle \u00e9galement une faille de s\u00e9curit\u00e9 r\u00e9cemment r\u00e9v\u00e9l\u00e9e dans l&#8217;utilitaire UnRAR de RARlab (CVE-2022-30333) qui pourrait conduire \u00e0 l&#8217;ex\u00e9cution de code \u00e0 distance.<\/p>\n<p>Trellix a en outre publi\u00e9 un utilitaire personnalis\u00e9 appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/advanced-threat-research\/Creosote\" target=\"_blank\">Cr\u00e9osote<\/a> pour rechercher des projets vuln\u00e9rables \u00e0 CVE-2007-4559, en l&#8217;utilisant pour d\u00e9couvrir la vuln\u00e9rabilit\u00e9 dans l&#8217;IDE Spyder Python ainsi que dans Polemarch.<\/p>\n<p>&#8220;Laiss\u00e9e sans contr\u00f4le, cette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 involontairement ajout\u00e9e \u00e0 des centaines de milliers de projets open source et ferm\u00e9s dans le monde, cr\u00e9ant une surface d&#8217;attaque substantielle de la cha\u00eene d&#8217;approvisionnement logicielle&#8221;, Douglas McKee <a rel=\"nofollow noopener\" href=\"https:\/\/www.trellix.com\/en-us\/about\/newsroom\/stories\/threat-labs\/limiting-the-software-supply-chain-attack-surface.html\" target=\"_blank\">c&#8217;est not\u00e9<\/a>.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/15-year-old-unpatched-python.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Pas moins de 350 000 projets open source seraient potentiellement vuln\u00e9rables \u00e0 l&#8217;exploitation en raison d&#8217;une faille de s\u00e9curit\u00e9 dans un module Python qui n&#8217;a pas \u00e9t\u00e9 corrig\u00e9 depuis 15 ans. Les r\u00e9f\u00e9rentiels open source couvrent un certain nombre de secteurs verticaux, tels que le d\u00e9veloppement de logiciels, l&#8217;intelligence artificielle\/apprentissage automatique, le d\u00e9veloppement Web, les [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":378019,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1132,277,4168,59777,4158,4165,4161,4157,4159,4171,4170,4167,4160,4163,4162,16180,1174,39385,4172,4169,196,16230,4166,3667,4164],"class_list":["post-378017","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-affecte","tag-ans","tag-comment-pirater","tag-corrigee","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-potentiellement","tag-projets","tag-python","tag-securite-informatique","tag-securite-internet","tag-une","tag-vieille","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/378017","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=378017"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/378017\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/378019"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=378017"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=378017"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=378017"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}