GitHubで見つかった「15年前のPython脆弱性」 その驚きの数とは?古くて新しい「Python」の脆弱性【中編】

セキュリティベンダーTrellixの調査によると、15年以上前に見つかった「Python」の脆弱性が、いまだにソースコードに入り込んでいる。事態の詳細と、この事態を招いた問題点とは何か。

2023年02月01日 08時15分 公開
[Alex ScroxtonTechTarget]

関連キーワード

脆弱性 | アプリケーション開発 | プログラミング


 プログラミング言語「Python」に関する脆弱(ぜいじゃく)性「CVE-2007-4559」が初めて見つかったのは、2007年のことだった。CVE-2007-4559は、PythonでTAR形式のアーカイブファイルを扱うためのライブラリ(プログラム部品群)「tarfile」の関数に存在する脆弱性だ。発見から15年以上が経過しているものの、セキュリティベンダーTrellixの研究者は、いまだにCVE-2007-4559がさまざまなシステムに影響を与えていると警鐘を鳴らす。

「15年前のPython脆弱性」をGitHubで発見 その驚きの規模とは?

会員登録(無料)が必要です

 Trellixでプリンシパルエンジニア兼脆弱性調査ディレクターを務めるダグ・マッキー氏によると、同社の調査チームは、ある脆弱性を調査していたところ、非公開のシステムでCVE-2007-4559に偶然出くわした。発見当初、調査チームは新しいゼロデイ脆弱性(パッチ未配布の脆弱性)を見つけたと判断したが、詳しく調べてみるとそうではないことが分かったという。

 ソースコード共有サービス「GitHub」をTrellixの研究チームが調査したところ、tarfileを組み込んだリポジトリは30万件以上存在した。そのうち61%が、CVE-2007-4559の悪用による攻撃を受ける危険性があった。

 TrellixはGitHubに連絡を取り、さらに調査を進めた。その結果、約58万8000件のリポジトリに、tarfileを使っているファイルが約287万件あることが判明したという。

 後編は、CVE-2007-4559が広がった原因を、Trellixの研究者の見解に沿って解説する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ

新着ホワイトペーパー

製品資料 NTTデータルウィーブ株式会社

失敗しないSASE導入のポイント、“シングルベンダー”がよい理由とは?

ネットワークとセキュリティの機能を一体化したフレームワーク「SASE」が注目されている。一方で、SASEはさまざまな機能で構成されるため、高評価のツールを組み合わせることが多いが、これが後悔の種になることもあるという。

市場調査・トレンド NTTデータルウィーブ株式会社

SASEの導入をためらう理由は? 調査で見えた課題と解決策

近年、SASE(Secure Access Service Edge)への注目度が高まっているが、その導入は決して容易ではない。そこで、ネットワークおよびセキュリティ、そしてSASEの導入・運用にまつわる課題を明らかにするため調査を実施した。

製品資料 ゾーホージャパン株式会社

内部統制を強化してセキュリティリスクを低減、特権ID管理のベストプラクティス

内部統制強化のため、企業には、システム化による評価プロセスや、システム運用の効率化などが求められている。その解決策の一例となる特権ID管理ツールについて、その機能や導入によって回避可能なセキュリティリスクを解説する。

製品資料 フォーティネットジャパン合同会社

クラウドセキュリティ運用の課題、増え続けるアラートの優先度を最適化するには

クラウドセキュリティ運用の大きな課題になっているのが、増え続けるセキュリティアラートに優先度を設定することだ。各環境によって最重要課題は異なるため、環境に合わせて優先度を設定することが必要になる。その実現方法とは?

製品資料 BLACKPANDA JAPAN株式会社

サプライチェーン攻撃から組織を守る、攻撃サーフェスの防御を強化する方法

サイバーセキュリティではまず、攻撃サーフェスへの対策が重要だが、近年はリモートワークやクラウドの普及により、攻撃サーフェスも拡大している。しかも、サプライチェーン攻撃の増加により、中小企業でも対策は待ったなしの状況だ。

会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

アクセスランキング

2025/04/21 UPDATE

  1. ランサムウェアの半数以上が“あの侵入経路”を悪用――見過ごされたリスクとは?
  2. 「身代金を支払う」以外のランサムウェア対策は本当にあるのか?
  3. 「VPN」が危険な理由と「ZTNA」移行の利点は? IAMの主要トレンドまとめ
  4. このサイト本物? 偽サイトで個人情報を抜き取るファーミングについておさらい
  5. ランサムウェア集団Black Bastaの会話が流出 明らかになった攻撃者の“本音”
  6. 気付いたら偽のWebサイトで個人情報を入力してた――ファーミングの手口とは
  7. 従業員によるデータ流出、その対策で大丈夫? 内部脅威はこう防ぐ
  8. 無料で「セキュリティのプロ」を目指せる“オンライン学習コース”5選
  9. ランサムウェア攻撃の“収益”が30%減 稼げなくなった犯罪者の誤算
  10. 導入済みの「SASE」見直しも? ネットワークセキュリティの“3大動向”

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news130.jpg

Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...

news040.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方