El popular lenguaje de programación Python tiene un fallo que lleva 15 años sin parchear, lo que pone en riesgo más de 350.000 proyectos en el caso de que los ciberdelincuentes exploten esta vulnerabilidad.

En los últimos años, Python ha ganado relevancia como lenguaje de programación que se usa en cada vez más proyectos. Sin embargo, un fallo que lleva sin solucionar desde hace una década y media lo deja en una situación comprometida.

Todo se remonta a agosto de 2007, cuando se reportó el fallo etiquetado como CVE-2007-4559 que, a día de hoy, sigue sin tener un parche. Diferentes equipos de investigadores han detectado que este fallo se encuentra en el paquete tarfile de Python, en concreto, en la función tarfile.extract().

El fallo permite a actores maliciosos sobreescribir los archivos de otros proyectos, si bien hasta el momento no hay ningún informe en el que se haya hecho uso malicioso del bug.

Pese a esto, no cabe duda de que conlleva un importante riesgo para la cadena de suministro de software. La única medida que se ha tomado al respecto, por el momento, ha sido una actualización de la documentación en la que se advierte a los desarrolladores del riesgo de este fallo.

Buscando una solución a la vulnerabilidad de Python

Durante estos años, el fallo ha permanecido sin parchear hasta que un investigador de Trellix ha redescubierto la vulnerabilidad, y ha apuntado que se trata de una vulnerabilidad de cruce de directorios en las funciones ‘extraer’ y ‘extraer todo’.

Y es que, el código de la función ‘extract’ en el módulo tarfile de Python confía en la información del objeto ‘tarinfo’ y une la ruta que se pasa a la función ‘extract’ y el nombre del objeto ‘tarinfo’.

Python fallo seguridad parche actualizacion Trellix noticia bit life media
Fuente: Trellix

Desde Python se pusieron manos a la obra y anunciaron que habían parcheado el fallo. Sin embargo, tan solo han realizado un cambio en la documentación advirtiendo a desarrolladores que «puede ser peligroso extraer archivos de una fuente no fiable».

Por su parte, investigadores de Trellix analizaron la vulnerabilidad y, tras comprobar más de 588.000 repositorios con la línea de código «import tarfile», encontraron cerca de 350.000 proyectos vulnerables.

Además de alertar del riesgo que conlleva esta vulnerabilidad, desde Trellix también han desarrollado parches para más de 11.000 proyectos disponibles en forks de los repositorios afectados.

No obstante, ante el gran número de repositorios afectados, se espera que más de 70.000 proyectos reciban actualizaciones a lo largo de las próximas semanas. Esto implica que el desarrollo de parches para todos los repositorios va a ser complicado y habrá que ver cómo se desarrollan para estimar si se podrán cubrir todos los que cuentan con esta vulnerabilidad.

 

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre