image/svg+xml
Logo Tom's Hardware
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Tom's Hardware Logo
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Forum
  • Sconti & Coupon
Sconti & Coupon
Accedi a Xenforo
Immagine di QD-OLED su un monitor? È (ovviamente) Samsung, oggi al minimo storico QD-OLED su un monitor? È (ovviamente) Samsung, oggi al mini...
Immagine di Uso della VRAM ridotto all'osso con la nuova versione del DLSS Uso della VRAM ridotto all'osso con la nuova versione del DL...

Python, vulnerabilità di 15 anni colpisce oltre 350 mila progetti

Una vulnerabilità che colpisce Python è presente da 15 anni, Trellix ha scoperto che riguarda oltre 350 mila repository open source.

Advertisement

Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione. Scopri di più
Avatar di Marco Doria

a cura di Marco Doria

Pubblicato il 22/09/2022 alle 10:30

Esiste una vulnerabilità del linguaggio di programmazione Python segnalata nel 2007 e contrassegnata come CVE-2007-4559 che non ha mai ricevuto una patch, a parte un aggiornamento alla documentazione che avverte gli sviluppatori dei possibili rischi.

Tuttavia, la vulnerabilità, ormai presente da 15 anni, interessa oltre 350 mila repository open source, ed è un dato preoccupante, dato che permette l'esecuzione arbitraria di codice. In ogni caso, a oggi non risultano effettivi exploit di tale falla, sebbene il rischio rimanga presente.

Il problema riguarda il pacchetto tarfile, dove è presente del codice che utilizza la funzione tarfile.extract() senza sanitize, oppure i valori predefiniti integrati di tarfile.extractall(). Il bug è di tipo trasversale e riguarda i percorsi, di conseguenza permette a un malintenzionato di sovrascrivere file arbitrari.

trellix-x-python-247673.jpg

Un ricercatore di Trellix si è imbattuto di recente in questa vulnerabilità, mentre stava analizzando un altro problema di sicurezza. Esaminandone l'impatto, Trellix ha scoperto che tale vulnerabilità è presente in migliaia di progetti software, open source e non.

Attraverso uno scraping di un gruppo di 257 repository, con verifica manuale di 175 di questi, i ricercatori hanno scoperto che il 61% risulta vulnerabile. Con ulteriori analisi, la percentuale è salita al 65%, dunque si tratta di un problema molto diffuso.

Partendo da questo dato, Trellix stima che esistono oltre 350 mila repository vulnerabili, molti dei quali usati da strumenti di apprendimento automatico, che aiutano gli sviluppatori ad accelerare la chiusura dei progetti.

Trellix ha creato delle patch per poco più di 11 mila progetti, prevedendo di arrivare fino a 70 mila entro le prossime settimane, tuttavia, è molto difficile che tutti i progetti interessati ricevano un intervento risolutivo, soprattutto perché occorre che i responsabili accettino le richieste di merge, un fatto decisamente non scontato.

Fonte dell'articolo: www.bleepingcomputer.com

Leggi altri articoli

👋 Partecipa alla discussione! Scopri le ultime novità che abbiamo riservato per te!

0 Commenti

⚠️ Stai commentando come Ospite . Vuoi accedere?


Questa funzionalità è attualmente in beta, se trovi qualche errore segnalacelo.

Segui questa discussione
Advertisement

Non perdere gli ultimi aggiornamenti

Newsletter Telegram

I più letti di oggi


  • #1
    7 smartphone da tenere d'occhio in vista del Prime Day
  • #2
    Questo notebook ha una RTX 4070 e costa meno di 1000€ (se sei MW Club)
  • #3
    Questo nuovo materiale "vive" e ricostruisce gli edifici
  • #4
    Anche Amazon nella rete del “NO IVA”: ecco gli affari nascosti
  • #5
    Milioni di stampanti in tutto il mondo a rischio sicurezza
  • #6
    Broken Arrow, la guerra come non l'avete mai vista | Recensione
Articolo 1 di 5
Uso della VRAM ridotto all'osso con la nuova versione del DLSS
Le ottimizzazioni della VRAM hanno raggiunto un nuovo traguardo con l'ultimo aggiornamento alla tecnologia DLSS 4 di NVIDIA.
Immagine di Uso della VRAM ridotto all'osso con la nuova versione del DLSS
3
Leggi questo articolo
Articolo 2 di 5
QD-OLED su un monitor? È (ovviamente) Samsung, oggi al minimo storico
Offerta imperdibile per il Samsung Odyssey OLED G9 da 49 pollici: monitor gaming curvo DQHD a 240Hz in sconto del 18% su Amazon, ora a 941,72€
Immagine di QD-OLED su un monitor? È (ovviamente) Samsung, oggi al minimo storico
Leggi questo articolo
Articolo 3 di 5
Questa è la tech che salverà le schede video da 8GB
Una ricerca di AMD dimostra come generare alberi e vegetazione in tempo reale riduca drasticamente l'uso della VRAM nei rendering 3D di diverse volte.
Immagine di Questa è la tech che salverà le schede video da 8GB
1
Leggi questo articolo
Articolo 4 di 5
Queste DRAM consumano il 20% in meno e performano di più
L'industria delle memorie DRAM sta assistendo a una rivoluzione che potrebbe ridefinire i parametri di efficienza energetica e delle prestazioni.
Immagine di Queste DRAM consumano il 20% in meno e performano di più
Leggi questo articolo
Articolo 5 di 5
Mediaworld fa il NO IVA, ma Amazon batte il prezzo su questo tablet Lenovo
Il NO IVA di Mediaworld non basta! Amazon ha il tablet Lenovo Tab M11 a un prezzo ancora più basso, solo 138€. Tra i migliori tablet entry level!
Immagine di Mediaworld fa il NO IVA, ma Amazon batte il prezzo su questo tablet Lenovo
1
Leggi questo articolo
Advertisement
Advertisement

Advertisement

Footer
Tom's Hardware Logo

 
Contatti
  • Contattaci
  • Feed RSS
Legale
  • Chi siamo
  • Privacy
  • Cookie
  • Affiliazione Commerciale
Altri link
  • Forum
Il Network 3Labs Network Logo
  • Tom's Hardware
  • SpazioGames
  • CulturaPop
  • Data4Biz
  • TechRadar
  • SosHomeGarden
  • Aibay

Tom's Hardware - Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

3LABS S.R.L. • Via Pietro Paleocapa 1 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

© 2025 3Labs Srl. Tutti i diritti riservati.