Trellixの調査によると、2007年に見つかった「Python」ライブラリの脆弱性が、いまだにさまざまなシステムに残っている。なぜそのような事態に陥ったのか。
プログラミング言語「Python」に関する脆弱(ぜいじゃく)性「CVE-2007-4559」は、Pythonでアーカイブファイルを扱うためのライブラリ(プログラム部品群)「tarfile」の関数に存在する。攻撃者がCVE-2007-4559を悪用すれば、任意のマルウェアを実行したり、標的デバイスの制御ができるようになったりする恐れがある。
攻撃者はCVE-2007-4559を悪用すると、TAR形式のアーカイブファイル名に特定の文字列を含めることで、任意のファイルにアクセスできるようになる。こうした攻撃手法を「ディレクトリトラバーサル」と呼ぶ。
CVE-2007-4559が初めて観測されたのは、2007年だ。セキュリティベンダーTrellixの研究者によると、CVE-2007-4559は2022年現在、以下のようなさまざまなシステムに存在する。
「脆弱な開発環境を使ったソフトウェア開発は、深刻な影響を及ぼす可能性がある」。Trellixの敵対者および脆弱性調査責任者のクリスチャン・ビーク氏は、そう警告する。ビーク氏によると、システム開発分野で出回っているチュートリアルや資料で、tarfileの間違った使い方が知れ渡り、CVE-2007-4559がさまざまなシステムに広がっている。
ビーク氏は開発者に対して、プログラミング言語やフレームワーク、ライブラリといった、システム開発を効率的にする幅広い技術のセキュリティについて調査することを推奨する。「過去に発生した攻撃を適切に防止しなければならない」(同氏)
中編は、Trellixが調査したCVE-2007-4559の現状を紹介する。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
