Trellixの調査によると、2007年に見つかった「Python」ライブラリの脆弱性が、いまだにさまざまなシステムに残っている。なぜそのような事態に陥ったのか。
プログラミング言語「Python」に関する脆弱(ぜいじゃく)性「CVE-2007-4559」は、Pythonでアーカイブファイルを扱うためのライブラリ(プログラム部品群)「tarfile」の関数に存在する。攻撃者がCVE-2007-4559を悪用すれば、任意のマルウェアを実行したり、標的デバイスの制御ができるようになったりする恐れがある。
攻撃者はCVE-2007-4559を悪用すると、TAR形式のアーカイブファイル名に特定の文字列を含めることで、任意のファイルにアクセスできるようになる。こうした攻撃手法を「ディレクトリトラバーサル」と呼ぶ。
CVE-2007-4559が初めて観測されたのは、2007年だ。セキュリティベンダーTrellixの研究者によると、CVE-2007-4559は2022年現在、以下のようなさまざまなシステムに存在する。
「脆弱な開発環境を使ったソフトウェア開発は、深刻な影響を及ぼす可能性がある」。Trellixの敵対者および脆弱性調査責任者のクリスチャン・ビーク氏は、そう警告する。ビーク氏によると、システム開発分野で出回っているチュートリアルや資料で、tarfileの間違った使い方が知れ渡り、CVE-2007-4559がさまざまなシステムに広がっている。
ビーク氏は開発者に対して、プログラミング言語やフレームワーク、ライブラリといった、システム開発を効率的にする幅広い技術のセキュリティについて調査することを推奨する。「過去に発生した攻撃を適切に防止しなければならない」(同氏)
中編は、Trellixが調査したCVE-2007-4559の現状を紹介する。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
「Threads」が月間アクティブユーザー1億5000万人を突破 今後Xを追い抜くための最善策は?
Metaはイーロン・マスク氏率いるTwitter(当時)の対抗馬として2023年7月にリリースした...
Z世代が考える「日本が最も力を入れて取り組むべき課題」1位は「ジェンダー平等」――SHIBUYA109 lab.調査
SDGsで挙げられている17の目標のうち、Z世代が考える「日本が最も力を入れて取り組むべき...
高齢男性はレジ待ちが苦手、女性は待たないためにアプリを活用――アイリッジ調査
実店舗を持つ企業が「アプリでどのようなユーザー体験を提供すべきか」を考えるヒントが...