Bug Python Berusia 15 Tahun yang Belum Ditambal Memungkinkan Eksekusi Kode di Lebih dari 350 ribu Proyek

Kerentanan kode Python berusia lima belas tahun menimbulkan ancaman bagi lebih dari 350.000 proyek.


Kerentanan yang ditemukan dalam bahasa pengkodean Python pada tahun 2007 dapat digunakan untuk melakukan eksekusi kode di lebih dari 350.000 proyek.


Cacat Python Telah Hadir selama Lima Belas Tahun

Cacat yang belum ditambal dalam bahasa pemrograman Python sekarang menjadi ancaman serius bagi ratusan ribu proyek. Kerentanan, yang dikenal sebagai CVE-2007-4559, ditemukan lima belas tahun yang lalu tetapi dianggap berisiko rendah, dan oleh karena itu tidak ditambal (meskipun peringatan dikeluarkan untuk pengembang tentang kelemahannya).

Cacat CVE-2007-4559 ada di dalam fungsi “extract” dan “extractall” di modul tarfile Python. Ini adalah bug traversal jalur, yang memungkinkan pelaku jahat untuk menimpa file arbitrer dengan mengunggah tarfile berbahaya. Tarfile ini kemudian dapat dieksekusi, memberikan kontrol aktor jahat dari perangkat yang diberikan.

Lebih dari 350.000 proyek sumber terbuka dan tertutup yang mencakup berbagai industri dapat dieksploitasi melalui lintasan jalur sewenang-wenang menggunakan kerentanan CVE-2007-4559.

Kerentanan Python Ditemukan Kembali pada tahun 2022

Kerentanan Python khusus ini ditemukan kembali pada awal tahun 2022 oleh peneliti kerentanan Trellix Kasimir Schulz, meskipun ini dilakukan secara tidak sengaja saat menyelidiki masalah keamanan lainnya. Schulz membawa CVE-2007-4559 kembali menjadi sorotan, meskipun awalnya dianggap sebagai cacat zero-day yang sama sekali baru. Tetapi segera ditemukan bahwa ini sebenarnya adalah kelemahan Python yang sudah lama ditemukan lima belas tahun sebelumnya.

See also  Cara Membuat Website Dari Awal Dengan Dreamweaver

Trellix dengan cepat membuat tweet yang memberi tahu orang-orang tentang kekurangan dan ancamannya terhadap proyek berbasis Python.

Setelah penemuan kembali ini, Trellix membuat tambalan untuk lebih dari 11.000 proyek, meskipun lebih banyak proyek diperkirakan akan menerima tambalan dalam beberapa minggu mendatang. Trellix juga telah membuat alat free of charge, yang disebut Creosote, yang dapat digunakan untuk memindai keberadaan kerentanan tarfile CVE-2007-4559.

CVE-2007-4559 Belum Dieksploitasi

Meskipun kelemahan bahasa Python ini merupakan ancaman signifikan bagi ribuan proyek, tampaknya belum dieksploitasi. Para peneliti berharap bahwa proyek akan ditambal sebelum pelaku jahat dapat mengeksploitasi kelemahan, meskipun ini mungkin memakan waktu, dan kemudahan eksploitasi CVE-2007-4559 menjadikannya masalah rantai pasokan yang berpotensi besar.

Kerentanan Terus Menimbulkan Ancaman bagi Individu dan Organisasi

Kerentanan keamanan terus-menerus ditemukan oleh para peneliti dan analis, dengan penjahat dunia maya yang ingin mengeksploitasinya sebelum mereka menerima tambalan. Ini akan terus menjadi perhatian di semua industri, dan kemungkinan akan menyebabkan masalah lebih lanjut di masa depan. Dalam kasus CVE-2007-4559, Trellix ingin sekali menyediakan proyek dengan kode yang diperbaiki sesegera mungkin, sehingga kelemahan ini tidak dapat disalahgunakan oleh aktor jahat.