Trellixの調査によると、2007年に見つかった「Python」ライブラリの脆弱性が、いまだにさまざまなシステムに残っている。なぜそのような事態に陥ったのか。
プログラミング言語「Python」に関する脆弱(ぜいじゃく)性「CVE-2007-4559」は、Pythonでアーカイブファイルを扱うためのライブラリ(プログラム部品群)「tarfile」の関数に存在する。攻撃者がCVE-2007-4559を悪用すれば、任意のマルウェアを実行したり、標的デバイスの制御ができるようになったりする恐れがある。
攻撃者はCVE-2007-4559を悪用すると、TAR形式のアーカイブファイル名に特定の文字列を含めることで、任意のファイルにアクセスできるようになる。こうした攻撃手法を「ディレクトリトラバーサル」と呼ぶ。
CVE-2007-4559が初めて観測されたのは、2007年だ。セキュリティベンダーTrellixの研究者によると、CVE-2007-4559は2022年現在、以下のようなさまざまなシステムに存在する。
「脆弱な開発環境を使ったソフトウェア開発は、深刻な影響を及ぼす可能性がある」。Trellixの敵対者および脆弱性調査責任者のクリスチャン・ビーク氏は、そう警告する。ビーク氏によると、システム開発分野で出回っているチュートリアルや資料で、tarfileの間違った使い方が知れ渡り、CVE-2007-4559がさまざまなシステムに広がっている。
ビーク氏は開発者に対して、プログラミング言語やフレームワーク、ライブラリといった、システム開発を効率的にする幅広い技術のセキュリティについて調査することを推奨する。「過去に発生した攻撃を適切に防止しなければならない」(同氏)
中編は、Trellixが調査したCVE-2007-4559の現状を紹介する。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
AIの進化が加速する「プラットフォームビジネス」とは?
マーケットプレイス構築を支援するMiraklが日本で初のイベントを開催し、新たな成長戦略...
「マーケティングオートメーション」 国内売れ筋TOP10(2024年12月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
2024年の消費者購買行動変化 「日本酒」に注目してみると……
2023年と比較して2024年の消費者の購買行動にはどのような変化があったのか。カタリナマ...