「15年前のPython脆弱性」がしぶとく残る“笑えない理由”古くて新しい「Python」の脆弱性【前編】

Trellixの調査によると、2007年に見つかった「Python」ライブラリの脆弱性が、いまだにさまざまなシステムに残っている。なぜそのような事態に陥ったのか。

2023年01月25日 10時00分 公開
[Alex ScroxtonTechTarget]

 プログラミング言語「Python」に関する脆弱(ぜいじゃく)性「CVE-2007-4559」は、Pythonでアーカイブファイルを扱うためのライブラリ(プログラム部品群)「tarfile」の関数に存在する。攻撃者がCVE-2007-4559を悪用すれば、任意のマルウェアを実行したり、標的デバイスの制御ができるようになったりする恐れがある。

15年前のPython脆弱性が残り続ける“笑えない理由”

 攻撃者はCVE-2007-4559を悪用すると、TAR形式のアーカイブファイル名に特定の文字列を含めることで、任意のファイルにアクセスできるようになる。こうした攻撃手法を「ディレクトリトラバーサル」と呼ぶ。

 CVE-2007-4559が初めて観測されたのは、2007年だ。セキュリティベンダーTrellixの研究者によると、CVE-2007-4559は2022年現在、以下のようなさまざまなシステムに存在する。

  • Amazon Web Services(AWS)、Google、Intel、Netflixといった企業が開発したフレームワーク
    • フレームワークは、特定の機能を持つプログラムの開発を支援するプログラム部品やドキュメントの集合体を指す。
  • 機械学習モデル
  • 自動化ツール
  • コンテナ管理ツール「Docker」で扱えるコンテナ

 「脆弱な開発環境を使ったソフトウェア開発は、深刻な影響を及ぼす可能性がある」。Trellixの敵対者および脆弱性調査責任者のクリスチャン・ビーク氏は、そう警告する。ビーク氏によると、システム開発分野で出回っているチュートリアルや資料で、tarfileの間違った使い方が知れ渡り、CVE-2007-4559がさまざまなシステムに広がっている。

 ビーク氏は開発者に対して、プログラミング言語やフレームワーク、ライブラリといった、システム開発を効率的にする幅広い技術のセキュリティについて調査することを推奨する。「過去に発生した攻撃を適切に防止しなければならない」(同氏)


 中編は、Trellixが調査したCVE-2007-4559の現状を紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news170.jpg

AIの進化が加速する「プラットフォームビジネス」とは?
マーケットプレイス構築を支援するMiraklが日本で初のイベントを開催し、新たな成長戦略...

news029.png

「マーケティングオートメーション」 国内売れ筋TOP10(2024年12月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news166.png

2024年の消費者購買行動変化 「日本酒」に注目してみると……
2023年と比較して2024年の消費者の購買行動にはどのような変化があったのか。カタリナマ...