GitHubで見つかった「15年前のPython脆弱性」 その驚きの数とは?古くて新しい「Python」の脆弱性【中編】

セキュリティベンダーTrellixの調査によると、15年以上前に見つかった「Python」の脆弱性が、いまだにソースコードに入り込んでいる。事態の詳細と、この事態を招いた問題点とは何か。

2023年02月01日 08時15分 公開
[Alex ScroxtonTechTarget]

 プログラミング言語「Python」に関する脆弱(ぜいじゃく)性「CVE-2007-4559」が初めて見つかったのは、2007年のことだった。CVE-2007-4559は、PythonでTAR形式のアーカイブファイルを扱うためのライブラリ(プログラム部品群)「tarfile」の関数に存在する脆弱性だ。発見から15年以上が経過しているものの、セキュリティベンダーTrellixの研究者は、いまだにCVE-2007-4559がさまざまなシステムに影響を与えていると警鐘を鳴らす。

「15年前のPython脆弱性」をGitHubで発見 その驚きの規模とは?

 Trellixでプリンシパルエンジニア兼脆弱性調査ディレクターを務めるダグ・マッキー氏によると、同社の調査チームは、ある脆弱性を調査していたところ、非公開のシステムでCVE-2007-4559に偶然出くわした。発見当初、調査チームは新しいゼロデイ脆弱性(パッチ未配布の脆弱性)を見つけたと判断したが、詳しく調べてみるとそうではないことが分かったという。

 ソースコード共有サービス「GitHub」をTrellixの研究チームが調査したところ、tarfileを組み込んだリポジトリは30万件以上存在した。そのうち61%が、CVE-2007-4559の悪用による攻撃を受ける危険性があった。

 TrellixはGitHubに連絡を取り、さらに調査を進めた。その結果、約58万8000件のリポジトリに、tarfileを使っているファイルが約287万件あることが判明したという。


 後編は、CVE-2007-4559が広がった原因を、Trellixの研究者の見解に沿って解説する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2024年3月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news175.png

AI同士が議論して商品開発のアイデア出し 博報堂が「マルチエージェント ブレストAI」の業務活用を開始
専門知識を持ったAI同士が協調して意思決定と企画生成を行う仕組みを活用。最適な結論や...

news172.jpg

デジタルサイネージ一体型自動ドアによる広告配信サービス ナブテスコが提供
ナブテスコがデジタルサイネージ一体型自動ドアを広告メディアとして利用する新サービス...