Photo by Artturi Jalli on Unsplash |
บั๊กอายุ 15 ปีที่ยังไม่ได้แก้ไขในภาษาเขียนโปรแกรม Python อาจส่งผลกระทบกับที่เก็บ (repository) ของโครงการเปิดเผยโค้ดต้นฉบับ (open-source) มากกว่า 350,000 แห่ง และอาจนำไปสู่การเรียกใช้โค้ด
ช่องโหว่ Path Traversal ซึ่งถูกเปิดเผยในปี 2007 อยู่ในแพ็คเกจ Python tarfile โดยอนุญาตให้แฮกเกอร์เขียนทับไฟล์ใด ๆ ก็ได้ ช่องโหว่เกิดขึ้นเนื่องจากโค้ดในฟังก์ชันการแตกไฟล์ในโมดูล tarfile ของ Python เชื่อถือข้อมูลในอ็อบเจกต์ TarInfo "และเชื่อมพาธที่ส่งผ่านไปยังฟังก์ชันการแตกไฟล์และชื่อในออบเจ็กต์ TarInfo"
นักวิเคราะห์ Charles McFarland ที่ Trellix ได้ค้นพบจุดบกพร่องอีกครั้งในขณะที่ตรวจสอบปัญหาด้านความปลอดภัยอื่น ไม่มีรายงานใดที่ระบุว่าบั๊กถูกใช้ในการโจมตี แม้ว่าจะยังคงเป็นภัยคุกคามในห่วงโซ่อุปทานของซอฟต์แวร์ก็ตาม
อ่านข่าวเต็มได้ที่: BleepingComputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น