GitHubで見つかった「15年前のPython脆弱性」 その驚きの数とは?古くて新しい「Python」の脆弱性【中編】

セキュリティベンダーTrellixの調査によると、15年以上前に見つかった「Python」の脆弱性が、いまだにソースコードに入り込んでいる。事態の詳細と、この事態を招いた問題点とは何か。

2023年02月01日 08時15分 公開
[Alex ScroxtonTechTarget]

 プログラミング言語「Python」に関する脆弱(ぜいじゃく)性「CVE-2007-4559」が初めて見つかったのは、2007年のことだった。CVE-2007-4559は、PythonでTAR形式のアーカイブファイルを扱うためのライブラリ(プログラム部品群)「tarfile」の関数に存在する脆弱性だ。発見から15年以上が経過しているものの、セキュリティベンダーTrellixの研究者は、いまだにCVE-2007-4559がさまざまなシステムに影響を与えていると警鐘を鳴らす。

「15年前のPython脆弱性」をGitHubで発見 その驚きの規模とは?

 Trellixでプリンシパルエンジニア兼脆弱性調査ディレクターを務めるダグ・マッキー氏によると、同社の調査チームは、ある脆弱性を調査していたところ、非公開のシステムでCVE-2007-4559に偶然出くわした。発見当初、調査チームは新しいゼロデイ脆弱性(パッチ未配布の脆弱性)を見つけたと判断したが、詳しく調べてみるとそうではないことが分かったという。

 ソースコード共有サービス「GitHub」をTrellixの研究チームが調査したところ、tarfileを組み込んだリポジトリは30万件以上存在した。そのうち61%が、CVE-2007-4559の悪用による攻撃を受ける危険性があった。

 TrellixはGitHubに連絡を取り、さらに調査を進めた。その結果、約58万8000件のリポジトリに、tarfileを使っているファイルが約287万件あることが判明したという。


 後編は、CVE-2007-4559が広がった原因を、Trellixの研究者の見解に沿って解説する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news071.jpg

「生成AIの普及でSEOはオワコン」説は本当か?
生成AIの普及によりSEOが「オワコン」化するという言説を頻繁に耳にするようになりました...

news067.jpg

ボストン コンサルティング平井陽一朗氏が語る 日本企業のイノベーションを阻む「5つの壁」
企業の変革を阻む5つの壁とそれを乗り越える鍵はどこにあるのか。オンラインマーケットプ...

news175.jpg

日清食品がカップ麺の1〜5位を独占 2024年、最も手に取られた新商品は?
カタリナマーケティングジャパンは、カタリナネットワーク内小売店における年間売り上げ...