با این حال، محققان Trellix دیدگاه کاملا متفاوتی در مورد این موضوع دارند: آنها گفتند که CVE-2007-4559 در واقع یک آسیب پذیری امنیتی است. به عنوان مدرک، محققان یک اکسپلویت ساده را که از نقص محیط توسعه Spyder برای برنامهنویسی علمی بهره میبرد، توصیف و نمایش دادند.
با در نظر گرفتن همه موارد، Trellix تخمین میزند که بیش از 350000 پروژه در برابر CVE-2007-4559 آسیبپذیر هستند، که بسیاری از این پروژهها توسط ابزارهای یادگیری ماشین برای کمک به توسعهدهندگان برای تکمیل سریعتر پروژه استفاده میشوند. با اتخاذ موضعی در مورد این موضوع، محققان قبلاً وصله هایی برای حدود 11000 پروژه ایجاد کرده اند و بسیاری از پروژه ها باید در هفته های آینده دنبال شوند.
از زمان گزارش اولیه ارسال شده در 15 سال پیش، آسیبپذیری tarfile هیچ اصلاحی یا اصلاحی دریافت نکرده است – فقط یک هشدار در مورد خطر موجود است. منصفانه بگوییم، هیچ گزارشی در مورد حملات و تهدیدات امنیتی که قادر به بهره برداری از CVE-2007-4559 باشند، وجود نداشته است.
به طور خلاصه: زبان برنامه نویسی پایتون تحت تأثیر مسائل امنیتی است که برنامه نویسان مدتی است از آن اطلاع داشتند. محققان Trellix اخیراً یک باگ را دوباره کشف کردند که خطر صدها هزار پروژه نرم افزاری را برجسته کرده و برای ده ها هزار مورد از آنها وصله ایجاد کرده است.
با این حال، یادآوری در مورد نقص اخیرا توسط Trellix منتشر شده است. در حین بررسی یک آسیبپذیری نامرتبط، محققان گفتند که به طور تصادفی به یک اشکال قدیمی در ماژول tarfile برخوردند.
در حین بحث در مورد این موضوع در ردیاب اشکال پایتون، توسعه دهندگان بار دیگر به این نتیجه رسیدند که CVE-2007-4559 یک اشکال نیست: توسعه دهندگان گفتند: “tarfile.py هیچ اشتباهی انجام نمی دهد، و هیچ سوء استفاده عملی شناخته شده یا ممکنی وجود ندارد. ” اسناد رسمی پایتون یک بار دیگر با هشدار در مورد خطر احتمالی مربوط به استخراج آرشیو از منابع نامعتبر به روز شده است.
این آسیب پذیری اولین بار در سال 2007 کشف شد و به عنوان CVE-2007-4559 فهرست شد، این آسیب پذیری در ماژول tarfile قرار دارد که توسط برنامه های پایتون برای خواندن و نوشتن بایگانی های Tar استفاده می شود. مشکل پیمایش مسیر باگ است که می تواند برای بازنویسی فایل های دلخواه در سیستم مورد سوء استفاده قرار گیرد، بنابراین منجر به اجرای احتمالی کد مخرب می شود.
Trellix همچنین فراگیر بودن CVE-2007-4559 را بررسی کرد و پروژه های متن باز و بسته را تجزیه و تحلیل کرد. آنها در ابتدا نرخ آسیبپذیری 61 درصدی را در 257 مخزن کد مختلف پیدا کردند که پس از بررسی خودکار، این درصد را به 65 درصد افزایش دادند و در نهایت مجموعه داده بزرگتری از 588840 مخزن منحصربهفرد را که در GitHub میزبانی شده بودند، تجزیه و تحلیل کردند.
پایتون که یکی از محبوب ترین زبان های برنامه نویسی در جهان است، برای برنامه ها و زنجیره تامین نرم افزار منبع باز هم فرصت و هم خطر محسوب می شود. نمونه موردی: محققان در حال کشف مجدد یک آسیب پذیری امنیتی هستند که به مدت 15 سال در پایتون پنهان شده بود. حداقل طبق گفتههای توسعهدهندگان پایتون، باگ «با طراحی کار میکند». دیگران غیر از این فکر می کنند و در حال تلاش برای ارائه وصله ای برای پروژه های آسیب دیده هستند.