セキュリティベンダーTrellixの調査によると、15年以上前に見つかった「Python」の脆弱性が、いまだにソースコードに入り込んでいる。事態の詳細と、この事態を招いた問題点とは何か。
プログラミング言語「Python」に関する脆弱(ぜいじゃく)性「CVE-2007-4559」が初めて見つかったのは、2007年のことだった。CVE-2007-4559は、PythonでTAR形式のアーカイブファイルを扱うためのライブラリ(プログラム部品群)「tarfile」の関数に存在する脆弱性だ。発見から15年以上が経過しているものの、セキュリティベンダーTrellixの研究者は、いまだにCVE-2007-4559がさまざまなシステムに影響を与えていると警鐘を鳴らす。
Trellixでプリンシパルエンジニア兼脆弱性調査ディレクターを務めるダグ・マッキー氏によると、同社の調査チームは、ある脆弱性を調査していたところ、非公開のシステムでCVE-2007-4559に偶然出くわした。発見当初、調査チームは新しいゼロデイ脆弱性(パッチ未配布の脆弱性)を見つけたと判断したが、詳しく調べてみるとそうではないことが分かったという。
ソースコード共有サービス「GitHub」をTrellixの研究チームが調査したところ、tarfileを組み込んだリポジトリは30万件以上存在した。そのうち61%が、CVE-2007-4559の悪用による攻撃を受ける危険性があった。
TrellixはGitHubに連絡を取り、さらに調査を進めた。その結果、約58万8000件のリポジトリに、tarfileを使っているファイルが約287万件あることが判明したという。
後編は、CVE-2007-4559が広がった原因を、Trellixの研究者の見解に沿って解説する。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
