「15年前のPython脆弱性」がしぶとく残る“笑えない理由”:古くて新しい「Python」の脆弱性【前編】
Trellixの調査によると、2007年に見つかった「Python」ライブラリの脆弱性が、いまだにさまざまなシステムに残っている。なぜそのような事態に陥ったのか。
プログラミング言語「Python」に関する脆弱(ぜいじゃく)性「CVE-2007-4559」は、Pythonでアーカイブファイルを扱うためのライブラリ(プログラム部品群)「tarfile」の関数に存在する。攻撃者がCVE-2007-4559を悪用すれば、任意のマルウェアを実行したり、標的デバイスの制御ができるようになったりする恐れがある。
15年前のPython脆弱性が残り続ける“笑えない理由”
攻撃者はCVE-2007-4559を悪用すると、TAR形式のアーカイブファイル名に特定の文字列を含めることで、任意のファイルにアクセスできるようになる。こうした攻撃手法を「ディレクトリトラバーサル」と呼ぶ。
CVE-2007-4559が初めて観測されたのは、2007年だ。セキュリティベンダーTrellixの研究者によると、CVE-2007-4559は2022年現在、以下のようなさまざまなシステムに存在する。
- Amazon Web Services(AWS)、Google、Intel、Netflixといった企業が開発したフレームワーク
- フレームワークは、特定の機能を持つプログラムの開発を支援するプログラム部品やドキュメントの集合体を指す。
- 機械学習モデル
- 自動化ツール
- コンテナ管理ツール「Docker」で扱えるコンテナ
「脆弱な開発環境を使ったソフトウェア開発は、深刻な影響を及ぼす可能性がある」。Trellixの敵対者および脆弱性調査責任者のクリスチャン・ビーク氏は、そう警告する。ビーク氏によると、システム開発分野で出回っているチュートリアルや資料で、tarfileの間違った使い方が知れ渡り、CVE-2007-4559がさまざまなシステムに広がっている。
ビーク氏は開発者に対して、プログラミング言語やフレームワーク、ライブラリといった、システム開発を効率的にする幅広い技術のセキュリティについて調査することを推奨する。「過去に発生した攻撃を適切に防止しなければならない」(同氏)
中編は、Trellixが調査したCVE-2007-4559の現状を紹介する。
Computer Weekly発 世界に学ぶIT導入・活用術
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.