GitHubで見つかった「15年前のPython脆弱性」 その驚きの数とは？：古くて新しい「Python」の脆弱性【中編】

セキュリティベンダーTrellixの調査によると、15年以上前に見つかった「Python」の脆弱性が、いまだにソースコードに入り込んでいる。事態の詳細と、この事態を招いた問題点とは何か。

[Alex Scroxton，TechTarget]

　プログラミング言語「Python」に関する脆弱（ぜいじゃく）性「CVE-2007-4559」が初めて見つかったのは、2007年のことだった。CVE-2007-4559は、PythonでTAR形式のアーカイブファイルを扱うためのライブラリ（プログラム部品群）「tarfile」の関数に存在する脆弱性だ。発見から15年以上が経過しているものの、セキュリティベンダーTrellixの研究者は、いまだにCVE-2007-4559がさまざまなシステムに影響を与えていると警鐘を鳴らす。

「15年前のPython脆弱性」をGitHubで発見　その驚きの規模とは？

併せて読みたいお薦め記事

連載：古くて新しい「Python」の脆弱性

• 前編：「15年前のPython脆弱性」がしぶとく残る“笑えない理由”

身近な脆弱性

• 最新の脆弱性だけじゃない　FortinetのVPN製品に潜む「古い脅威」とは
• iOS 16に見つかった“危ない脆弱性”　影響を受けるAppleデバイスはこれだ

　Trellixでプリンシパルエンジニア兼脆弱性調査ディレクターを務めるダグ・マッキー氏によると、同社の調査チームは、ある脆弱性を調査していたところ、非公開のシステムでCVE-2007-4559に偶然出くわした。発見当初、調査チームは新しいゼロデイ脆弱性（パッチ未配布の脆弱性）を見つけたと判断したが、詳しく調べてみるとそうではないことが分かったという。

　ソースコード共有サービス「GitHub」をTrellixの研究チームが調査したところ、tarfileを組み込んだリポジトリは30万件以上存在した。そのうち61％が、CVE-2007-4559の悪用による攻撃を受ける危険性があった。

　TrellixはGitHubに連絡を取り、さらに調査を進めた。その結果、約58万8000件のリポジトリに、tarfileを使っているファイルが約287万件あることが判明したという。

---

　後編は、CVE-2007-4559が広がった原因を、Trellixの研究者の見解に沿って解説する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。