2007 में पायथन कोडिंग भाषा में खोजी गई भेद्यता का उपयोग 350,000 से अधिक परियोजनाओं में कोड निष्पादन करने के लिए किया जा सकता है।
पाइथन फ्लॉ पंद्रह साल से मौजूद है
में एक अभेद्य दोष पायथन प्रोग्रामिंग भाषा अब सैकड़ों हजारों परियोजनाओं के लिए एक गंभीर खतरा बन गया है। भेद्यता, जिसे CVE-2007-4559 के रूप में जाना जाता है, पंद्रह साल पहले खोजी गई थी, लेकिन इसे कम जोखिम वाला माना गया था, और इसलिए इसे पैच नहीं किया गया था (हालांकि दोष के बारे में डेवलपर्स को चेतावनी जारी की गई थी)।
CVE-2007-4559 दोष Python के tarfile मॉड्यूल में "extract" और "extractall" फ़ंक्शन के भीतर मौजूद है। यह एक पाथ ट्रैवर्सल बग है, जो दुर्भावनापूर्ण अभिनेताओं को एक दुर्भावनापूर्ण टारफाइल अपलोड करके मनमानी फ़ाइलों को अधिलेखित करने की अनुमति देता है। इस टैरफाइल को तब निष्पादित किया जा सकता है, जो किसी दिए गए डिवाइस के दुर्भावनापूर्ण अभिनेता को नियंत्रित करता है।
CVE-2007-4559 भेद्यता का उपयोग करके मनमाना पथ ट्रैवर्सल के माध्यम से उद्योगों की एक श्रृंखला में फैली 350,000 से अधिक खुली और बंद स्रोत परियोजनाओं का दोहन किया जा सकता है।
2022 में पायथन भेद्यता को फिर से खोजा गया
इस विशेष पायथन भेद्यता को 2022 की शुरुआत में ट्रेलिक्स भेद्यता शोधकर्ता कासिमिर शुल्ज द्वारा फिर से खोजा गया था, हालांकि यह किसी अन्य सुरक्षा मुद्दे की जांच करते समय गलती से किया गया था। शुल्ज़ ने CVE-2007-4559 को फिर से सुर्खियों में ला दिया, हालाँकि पहले यह सोचा गया था कि यह पूरी तरह से नया है जीरो-डे गलती। लेकिन जल्द ही यह पता चला कि यह वास्तव में पंद्रह साल पहले खोजा गया लंबे समय से चला आ रहा पायथन दोष था।
ट्रेलिक्स ने फौरन एक ट्वीट कर लोगों को पायथॉन-आधारित परियोजनाओं की खामियों और इसके खतरों के बारे में सूचित किया।
इस पुनर्खोज के बाद, ट्रेलिक्स ने 11,000 से अधिक परियोजनाओं के लिए पैच बनाए, हालांकि आने वाले हफ्तों में कई और परियोजनाओं को पैच प्राप्त करने के लिए सोचा गया है। ट्रेलिक्स ने क्रेओसोट नामक एक निःशुल्क टूल भी बनाया है, जिसका उपयोग सीवीई-2007-4559 टार्फाइल भेद्यता की उपस्थिति के लिए स्कैन करने के लिए किया जा सकता है।
CVE-2007-4559 अभी तक शोषण किया जाना है
हालांकि यह पायथन भाषा दोष हजारों परियोजनाओं के लिए एक महत्वपूर्ण खतरा है, लेकिन ऐसा लगता है कि अभी तक इसका फायदा नहीं उठाया गया है। शोधकर्ताओं को उम्मीद है कि इससे पहले कि दुर्भावनापूर्ण अभिनेता दोष का फायदा उठा सकें, परियोजनाओं को पैच किया जाएगा, हालांकि ऐसा हो सकता है कुछ समय लें, और CVE-2007-4559 के उपयोग में आसानी इसे संभावित रूप से बड़ी आपूर्ति श्रृंखला का मुद्दा बना देती है।
भेद्यताएं व्यक्तियों और संगठनों के लिए समान रूप से खतरा बनी हुई हैं
शोधकर्ताओं और विश्लेषकों द्वारा सुरक्षा कमजोरियों की लगातार खोज की जा रही है, साइबर अपराधी पैच प्राप्त करने से पहले उनका फायदा उठाने के लिए उत्सुक हैं। यह सभी उद्योगों के लिए एक चिंता का विषय बना रहेगा, और भविष्य में और अधिक समस्याओं का कारण बनेगा। CVE-2007-4559 के मामले में, ट्रेलिक्स यथाशीघ्र मरम्मत किए गए कोड के साथ प्रोजेक्ट प्रदान करने के लिए उत्सुक है, ताकि दुर्भावनापूर्ण अभिनेताओं द्वारा इस दोष का दुरुपयोग न किया जा सके।