セキュリティベンダーTrellixの調査によると、15年以上前に見つかった「Python」の脆弱性が、いまだにソースコードに入り込んでいる。事態の詳細と、この事態を招いた問題点とは何か。
プログラミング言語「Python」に関する脆弱(ぜいじゃく)性「CVE-2007-4559」が初めて見つかったのは、2007年のことだった。CVE-2007-4559は、PythonでTAR形式のアーカイブファイルを扱うためのライブラリ(プログラム部品群)「tarfile」の関数に存在する脆弱性だ。発見から15年以上が経過しているものの、セキュリティベンダーTrellixの研究者は、いまだにCVE-2007-4559がさまざまなシステムに影響を与えていると警鐘を鳴らす。
Trellixでプリンシパルエンジニア兼脆弱性調査ディレクターを務めるダグ・マッキー氏によると、同社の調査チームは、ある脆弱性を調査していたところ、非公開のシステムでCVE-2007-4559に偶然出くわした。発見当初、調査チームは新しいゼロデイ脆弱性(パッチ未配布の脆弱性)を見つけたと判断したが、詳しく調べてみるとそうではないことが分かったという。
ソースコード共有サービス「GitHub」をTrellixの研究チームが調査したところ、tarfileを組み込んだリポジトリは30万件以上存在した。そのうち61%が、CVE-2007-4559の悪用による攻撃を受ける危険性があった。
TrellixはGitHubに連絡を取り、さらに調査を進めた。その結果、約58万8000件のリポジトリに、tarfileを使っているファイルが約287万件あることが判明したという。
後編は、CVE-2007-4559が広がった原因を、Trellixの研究者の見解に沿って解説する。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
SASのCMOが語る マーケティング部門が社内の生成AI活用のけん引役に適している理由
データとアナリティクスの世界で半世紀近くにわたり知見を培ってきたSAS。同社のCMOに、...
SALES ROBOTICSが「カスタマーサクセス支援サービス」を提供
SALES ROBOTICSは、カスタマーサクセスを実現する新サービスの提供を開始した。
「Fortnite」を活用 朝日広告社がメタバース空間制作サービスとマーケティング支援を開始
朝日広告社は、人気ゲーム「Fortnite」に新たなゲームメタバース空間を公開した。また、...