「15年前のPython脆弱性」がしぶとく残る“笑えない理由”古くて新しい「Python」の脆弱性【前編】

Trellixの調査によると、2007年に見つかった「Python」ライブラリの脆弱性が、いまだにさまざまなシステムに残っている。なぜそのような事態に陥ったのか。

2023年01月25日 10時00分 公開
[Alex ScroxtonTechTarget]

 プログラミング言語「Python」に関する脆弱(ぜいじゃく)性「CVE-2007-4559」は、Pythonでアーカイブファイルを扱うためのライブラリ(プログラム部品群)「tarfile」の関数に存在する。攻撃者がCVE-2007-4559を悪用すれば、任意のマルウェアを実行したり、標的デバイスの制御ができるようになったりする恐れがある。

15年前のPython脆弱性が残り続ける“笑えない理由”

 攻撃者はCVE-2007-4559を悪用すると、TAR形式のアーカイブファイル名に特定の文字列を含めることで、任意のファイルにアクセスできるようになる。こうした攻撃手法を「ディレクトリトラバーサル」と呼ぶ。

 CVE-2007-4559が初めて観測されたのは、2007年だ。セキュリティベンダーTrellixの研究者によると、CVE-2007-4559は2022年現在、以下のようなさまざまなシステムに存在する。

  • Amazon Web Services(AWS)、Google、Intel、Netflixといった企業が開発したフレームワーク
    • フレームワークは、特定の機能を持つプログラムの開発を支援するプログラム部品やドキュメントの集合体を指す。
  • 機械学習モデル
  • 自動化ツール
  • コンテナ管理ツール「Docker」で扱えるコンテナ

 「脆弱な開発環境を使ったソフトウェア開発は、深刻な影響を及ぼす可能性がある」。Trellixの敵対者および脆弱性調査責任者のクリスチャン・ビーク氏は、そう警告する。ビーク氏によると、システム開発分野で出回っているチュートリアルや資料で、tarfileの間違った使い方が知れ渡り、CVE-2007-4559がさまざまなシステムに広がっている。

 ビーク氏は開発者に対して、プログラミング言語やフレームワーク、ライブラリといった、システム開発を効率的にする幅広い技術のセキュリティについて調査することを推奨する。「過去に発生した攻撃を適切に防止しなければならない」(同氏)


 中編は、Trellixが調査したCVE-2007-4559の現状を紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

鬯ョ�ォ�ス�エ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ー鬯ッ�ィ�ス�セ�ス�ス�ス�ケ�ス�ス邵コ�、�つ€鬯ゥ蟷「�ス�「髫エ蜿門セ暦ソス�ス�ス�ク髯キ�エ�ス�・�ス�ス�ス�。鬯ゥ蟷「�ス�「�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�、鬯ゥ蟷「�ス�「髫エ荳サ�ス隶捺サゑスソ�ス�ス�ス�ス�ス�ス�ス鬯ゥ蟷「�ス�「髫エ雜」�ス�「�ス�ス�ス�ス�ス�ス�ス�シ鬯ゥ蟷「�ス�「髫エ荵暦ソス�ス�ス�ス�サ�ス�ス�ス�」�ス�ス�ス�ス�ス�ス�ス�ス

製品資料 ゾーホージャパン株式会社

システムに侵入され深刻な被害も、サービスアカウントの不正利用をどう防ぐ?

サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。

製品資料 ゾーホージャパン株式会社

“人間ではない”サービスアカウントに潜む、3つのセキュリティリスクとは?

サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。

製品資料 Splunk Services Japan合同会社

デジタル決済の普及で金融犯罪や不正行為が急増、被害を防ぐために必要なものは

eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。

製品資料 Splunk Services Japan合同会社

金融犯罪を未然に防止、システムが複雑化する中で取るべき対策とその実装方法

金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。

製品資料 グーグル合同会社

ゼロトラストセキュリティのハードルを下げる、“ブラウザ”ベースという視点

クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。

鬩幢ス「隴主�蜃ス�ス雜」�ス�ヲ鬩幢ス「隰ィ魑エツ€鬩幢ス「隴趣ス「�ス�ス�ス�シ鬩幢ス「�ス�ァ�ス�ス�ス�ウ鬩幢ス「隴趣ス「�ス�ス�ス�ウ鬩幢ス「隴趣ス「�ス�ソ�ス�ス�ス雜」�ス�ヲ鬩幢ス「隴趣ス「�ス�ソ�ス�スPR

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

驛「�ァ�ス�「驛「�ァ�ス�ッ驛「�ァ�ス�サ驛「�ァ�ス�ケ驛「譎「�ス�ゥ驛「譎「�ス�ウ驛「�ァ�ス�ュ驛「譎「�ス�ウ驛「�ァ�ス�ー

2025/04/16 UPDATE

  1. 驛「譎「�ス�ゥ驛「譎「�ス�ウ驛「�ァ�ス�オ驛「譎「�ソ�ス驛「�ァ�ス�ヲ驛「�ァ�ス�ァ驛「�ァ�ス�「鬯ョ�ョ�ス�ス陞サ�ョBlack Basta驍オ�コ�ス�ョ髣費スィ陞溷・�スス�ゥ�ス�ア驍オ�コ隴エ�ァ�ス�オ遶乗劼�ソ�ス驍オ�イ�つ€髫エ荳橸スシ�ア�ス閾・�ク�コ闕オ譏カ�ス驍オ�コ�ス�ェ驍オ�コ�ス�」驍オ�コ雋顔§諢幃垈�ヲ�ス�ス�つ€�ス�ス�ス�ス驕ッ�カ隲帛沺縺滄ャョ�サ�ス�ウ驕ッ�カ�ス�ス
  2. 驛「譎「�ス�ゥ驛「譎「�ス�ウ驛「�ァ�ス�オ驛「譎「�ソ�ス驛「�ァ�ス�ヲ驛「�ァ�ス�ァ驛「�ァ�ス�「髫ー�セ�ス�サ髫ー�ヲ�ス�ス�ス�ス驕ッ�カ隲幢スキ陟趣スカ鬨セ�カ陝ッ�ゥ�つ€隴擾スエ遯カ�イ30�ス�ス�ス�ス�ス�ク陝カ蜊債€�つ€鬩墓ゥク�ス�シ驍オ�コ陋幢スオ遶企��ク�コ闕ウ蟯ゥ�ス驍オ�コ�ス�」驍オ�コ雋�スス陞ウ蛟ャム€�ス�ェ鬮「�ス�ス�ス�ス�ス鬮ォ�ア�ス�、鬩阪q�ソ�ス
  3. 髴取サゑスス�。髫エ竏晉函邵イ蝣、�ク�イ陟募セ娯落驛「�ァ�ス�ュ驛「譎「�ス�・驛「譎「�ス�ェ驛「譎「�ソ�ス邵コ�ス�ク�コ�ス�ョ驛「譎丞ケイ�取コス�ク�イ鬮ヲ�ェ�ス蟶敖€�カ�ス�ョ髫ー蜴�スソ�ス隨ウ迢暦スケ�ァ鬩ォツ€�つ€隲帷ソォ窶イ驛「譎「�ス�ウ驛「譎「�ス�ゥ驛「�ァ�ス�、驛「譎「�ス�ウ髯晢ソス�ス�ヲ鬩怜雀�ス邵コ諷包スケ譎「�ス�シ驛「�ァ�ス�ケ驕ッ�カ�ス�ス5鬯ゥ蛹�スス�ク
  4. 驍オ�イ隰疲サゑスソ�ス髯懆カ」�ス�ィ髯具スケ隰費スカ�ス�ス驍オ�コ髯よあ驍オ�イ鬮ヲ�ェ遯カ�イ200�ス�ス�ス�ス�ス�「陷会スア�つ€�つ€鬨セ蠅難スサ髮」�ソ�スAI驍オ�コ�ス�ァ髮朱ッ会スス�セ髮趣スシ�ス�ォ驍オ�コ陷キ�カ�ス迢暦スェ�カ隲橸スコ髯ャ�ク驛「譎「�ソ�ス�ス�ス驛「譎「�ス�ォ驕ッ�カ隴擾スエ�ス�ス髯橸スウ雋企屮�ソ�ス
  5. 驛「譎「�ス�ゥ驛「譎「�ス�ウ驛「�ァ�ス�オ驛「譎「�ソ�ス驛「�ァ�ス�ヲ驛「�ァ�ス�ァ驛「�ァ�ス�「驍オ�コ�ス�ョ髯キ莨�ソス驢搾ソス髣比シ夲スス�・髣包スウ驗呻スォ遯カ�イ驕ッ�カ隲帛イゥ譌コ驍オ�コ�ス�ョ髣憺屮�ス�オ髯キ闌ィ�ス�・鬩搾スィ霑ケ螟イ�ス�キ�ス�ッ驕ッ�カ隴擾スエ�ス螳夲スャ雋サ�ス�ェ鬨セ蛹�スス�ィ驕ッ�カ髯ャ諷環€隰悟・�スス�ヲ驕擾スゥ驍�ソス�ク�コ隴∵腸�シ�ス�ケ�ァ陟募ィッ陞コ驛「譎「�ス�ェ驛「�ァ�ス�ケ驛「�ァ�ス�ッ驍オ�コ�ス�ィ驍オ�コ�ス�ッ�ス�ス�ス�ス
  6. 驍オ�イ霑ケ螟イ�ス�コ�ス�ォ髣比シ夲スス�」鬯ゥ�・闔会ス」�ス螳夲スャ�セ�ス�ッ髫ー�ス�シ謚ォ魘ャ驍オ�イ陜」�コ�ス�サ�ス�・髯樊サ薙§�ス�ス驛「譎「�ス�ゥ驛「譎「�ス�ウ驛「�ァ�ス�オ驛「譎「�ソ�ス驛「�ァ�ス�ヲ驛「�ァ�ス�ァ驛「�ァ�ス�「髯晢ソス�ス�セ鬩包スイ隰費スカ�ス�ス髫エ蟷「�ス�ャ髯溷�萓ュ遶企豪�ク�コ郢ァ�ス�ス迢暦スク�コ�ス�ョ驍オ�コ陷茨スキ�ス�シ�ス�ス
  7. 驛「譎「�ス�ゥ驛「譎「�ス�ウ驛「�ァ�ス�オ驛「譎「�ソ�ス驛「�ァ�ス�ヲ驛「�ァ�ス�ァ驛「�ァ�ス�「髫ー�セ�ス�サ髫ー�ヲ�ス�ス�ス螳壽╂陷会スア�ス�ス驍オ�コ�ス�ヲ驛「�ァ郢ァ�スツ€霑ケ螟イ�ス�コ�ス�ォ髣比シ夲スス�」鬯ゥ�・闔会ス」�ス螳夲スャ�セ�ス�ッ髫ー�ス�シ雋サ�ス蜀暦スク�コ�ス�ェ驍オ�コ闕ウ蟯ゥ�ス驍オ�コ�ス�」驍オ�コ雋�シ可€鬮ヲ�ェ�ス�ス驍オ�コ�ス�ッ驍オ�コ�ス�ェ驍オ�コ隲帷腸�ー
  8. 驍オ�コ�ス�セ驍オ�コ髴域攸�ー驍オ�コ�ス�ョ驍オ�コ郢ァ�ス�ス讙趣スク�コ陞ス�ッ�つ€隲帑シ夲スス�ク�ス�ク鬮ォ遨ゑスケ譏カ譁。驕ッ�カ隴擾スエ�つ€�つ€髮趣ソス�ス�エ髯キ�ソ�ス�イ驍オ�コ�ス�ォ髫ケ�ソ闕オ譎「�ス邇厄スォ�ス�ス�ス�ス�ス�ス�ア髮句�コ�ク蟯ゥ譁。驍オ�コ�ス�ス�ス�コ陋滂スカ�ス�サ�ス�カ5鬯ゥ蛹�スス�ク
  9. 髮取ぁ�カ�コ�ス�サ陋滂ス・�ス讓抵スク�コ雋�∞�ス闃ス螻�ソス�ス驍オ�コ�ス�ョWeb驛「�ァ�ス�オ驛「�ァ�ス�、驛「譎冗樟邵イ螳壼ア占屐�カ�ス�コ�ス�コ髫イ�ス�ス�ス�ス�ス�ス�ア驛「�ァ髮区ゥク�ソ�ス髯キ迚呻スク蜻サ�シ�ス驍オ�コ�ス�ヲ驍オ�コ雋�スェ�つ€髯ャ諷環€髴域鱒ホィ驛「�ァ�ス�。驛「譎「�ス�シ驛「譎�スコ菴ゥ�ヲ驛「�ァ�ス�ー驍オ�コ�ス�ョ髫ー�ス蜚ア陷ゥ�ィ驍オ�コ�ス�ィ驍オ�コ�ス�ッ
  10. 髫イ�ス�ス�ス�ス�ス�ス�ア驍オ�コ�ス�ッ驍オ�コ�ス�ゥ驍オ�コ髦ョ蜊搾スー驛「�ァ騾包スサ�ス�シ闕ウ螂�スス讙趣スケ�ァ陷茨スキ�ス�シ雋�シ可€�つ€髯樊サゑスス�ァ髣費スィ遶擾スオ�ス�・�ス�ュ驍オ�コ�ス�ョ驍オ�イ陟暮ッ会スシ�ス驍オ�コ闕ウ迺ー�ァ驛「�ァ驗呻スォ�つ€鬮ヲ�ェ�ゑスー驛「�ァ髣�スス�ス�ヲ闕オ譏カ譁。驍オ�コ�ス�ヲ驍オ�コ鬮ヲ�ェ隨ウ�ス�ゥ�・陷・�イ邵コ蟷�ア橸ソス�セ鬩包スイ闕オ貊ゑスス�ョ�ス�ス陜ィ蝣、�ク�コ�ス�ィ驍オ�コ�ス�ッ

「15年前のPython脆弱性」がしぶとく残る“笑えない理由”:古くて新しい「Python」の脆弱性【前編】 - TechTargetジャパン セキュリティ 鬮ォ�エ�ス�ス�ス�ス�ス�ー鬯ィ�セ�ス�ケ�ス縺、ツ€鬯ョ�ォ�ス�ェ髯区サゑスソ�ス�ス�ス�ス�コ�ス�ス�ス�ス

TechTarget鬩幢ス「�ス�ァ�ス�ス�ス�ク鬩幢ス「隴趣ス「�ス�ス�ス�」鬩幢ス「隴乗��ス�サ�ス�」�ス雜」�ス�ヲ 鬮ォ�エ�ス�ス�ス�ス�ス�ー鬯ィ�セ�ス�ケ�ス縺、ツ€鬯ョ�ォ�ス�ェ髯区サゑスソ�ス�ス�ス�ス�コ�ス�ス�ス�ス

鬯ゥ蟷「�ス�「髫エ蜿門セ暦ソス�ス�ス�ク髯キ�エ�ス�・�ス�ス�ス�。鬯ゥ蟷「�ス�「�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�、鬯ゥ蟷「�ス�「髫エ荳サ�ス隶捺サゑスソ�ス�ス�ス�ス�ス�ス�ス鬯ゥ蟷「�ス�「髫エ雜」�ス�「�ス�ス�ス�ス�ス�ス�ス�シ鬯ゥ蟷「�ス�「髫エ荵暦ソス�ス�ス�ス�サ�ス�ス�ス�」�ス�ス�ス�ス�ス�ス�ス�ス鬯ゥ蟷「�ス�「髫エ雜」�ス�「�ス�ス�ス�ス�ス�ス�ス�ゥ鬯ゥ蟷「�ス�「髫エ雜」�ス�「�ス�ス�ス�ス�ス�ス�ス�ウ鬯ゥ蟷「�ス�「�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�ュ鬯ゥ蟷「�ス�「髫エ雜」�ス�「�ス�ス�ス�ス�ス�ス�ス�ウ鬯ゥ蟷「�ス�「�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�ー

2025/04/16 UPDATE

ITmedia マーケティング新着記事

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news130.jpg

Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...

news040.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。