Python terkena serangga berusia 15 tahun yang terus memberi

Halo sobat TanyaTekno, bertemu kembali kita di artikel ini. Di artikel ini saya akan mengulas Python terkena serangga berusia 15 tahun yang terus memberi

Secara singkat: Bahasa pemrograman Python dipengaruhi oleh masalah keamanan yang telah diketahui oleh programmer untuk sementara waktu. Peneliti Trellix baru-baru ini menemukan bug, menyoroti risiko ratusan ribu proyek perangkat lunak dan membuat tambalan untuk puluhan ribu di antaranya.

Menjadi salah satu bahasa pemrograman paling populer di dunia, Python merupakan peluang dan risiko untuk perangkat lunak sumber terbuka dan rantai pasokan perangkat lunak. Contoh kasus: Para peneliti menemukan kembali kerentanan yang tersembunyi di Python selama 15 tahun. Kesalahan “berfungsi dengan desain”, setidaknya menurut pengembang Python; Yang lain berpikir sebaliknya dan bekerja untuk menyediakan tambalan untuk proyek yang terkena dampak.

Pertama kali ditemukan pada tahun 2007 dan terdaftar sebagai CVE-2007-4559, kerentanan terletak di modul tarfile yang digunakan program Python untuk membaca dan menulis arsip Tar. Masalahnya adalah jalur traversal kesalahan yang dapat dieksploitasi untuk menimpa file arbitrer pada sistem, yang mengakibatkan eksekusi kode yang berpotensi berbahaya.

Sejak laporan awal diterbitkan 15 tahun yang lalu, kerentanan tarfile belum menerima perbaikan atau tambalan apa pun – hanya peringatan tentang risiko saat ini. Agar adil, belum ada laporan serangan dan ancaman keamanan yang mampu mengeksploitasi CVE-2007-4559.

Namun, pengingat tentang bug baru-baru ini diposting oleh Trellix. Saat menyelidiki kerentanan yang tidak terkait, para peneliti mengatakan mereka menemukan bug lama di modul tarfile.

Saat mendiskusikan masalah di debugger Python, pengembang kembali menyimpulkan bahwa CVE-2007-4559 bukan bug: pengembang mengatakan bahwa “tarfile.py tidak melakukan kesalahan,” dan tidak ada “eksploitasi kerja yang diketahui atau potensial.” Diperbarui dokumentasi resmi Python Sekali lagi, dengan peringatan tentang potensi bahaya terkait mengekstrak arsip dari sumber yang tidak dapat diandalkan.

Namun, para peneliti Trellix memiliki pandangan yang sama sekali berbeda tentang masalah ini: CVE-2007-4559 memang merupakan kerentanan, kata mereka. Sebagai bukti, para peneliti menjelaskan dan mendemonstrasikan eksploitasi sederhana untuk memanfaatkan kelemahan dalam lingkungan pengembangan Spyder untuk pemrograman ilmiah.

Trellix juga melihat prevalensi CVE-2007-4559, menganalisis proyek sumber tertutup dan terbuka. Mereka awalnya menemukan tingkat kerentanan 61 persen di 257 repositori token yang berbeda, meningkatkan persentase menjadi 65 persen setelah pemindaian otomatis dan akhirnya menganalisis kumpulan data yang lebih besar dari 588.840 repositori unik yang dihosting di Github.

Semua hal dipertimbangkan, Trellix memperkirakan bahwa mungkin ada lebih dari 350.000 proyek yang rentan terhadap CVE-2007-4559, dengan banyak dari proyek ini digunakan oleh alat pembelajaran mesin untuk membantu pengembang menyelesaikan proyek lebih cepat. Dengan mengambil sikap terhadap masalah ini, para peneliti telah membuat patch untuk sekitar 11.000 proyek, dan masih banyak lagi yang akan menyusul dalam beberapa minggu mendatang.

Demikianlah pembahasantentang Python terkena serangga berusia 15 tahun yang terus memberi

. Jangan Lupa untuk
share artikel ini ya sobat.