image/svg+xml
Logo Tom's Hardware
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Tom's Hardware Logo
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Forum
  • Sconti & Coupon
Sconti & Coupon
Accedi a Xenforo
Immagine di PC workstation di fascia alta per la modellazione 3D | 2025 PC workstation di fascia alta per la modellazione 3D | 2025...
Immagine di Un pezzo di Windows Vista ritorna in Windows 11, ma ci resterà? Un pezzo di Windows Vista ritorna in Windows 11, ma ci reste...

Python, vulnerabilità di 15 anni colpisce oltre 350 mila progetti

Una vulnerabilità che colpisce Python è presente da 15 anni, Trellix ha scoperto che riguarda oltre 350 mila repository open source.

Advertisement

Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione. Scopri di più
Avatar di Marco Doria

a cura di Marco Doria

Pubblicato il 22/09/2022 alle 10:30

Esiste una vulnerabilità del linguaggio di programmazione Python segnalata nel 2007 e contrassegnata come CVE-2007-4559 che non ha mai ricevuto una patch, a parte un aggiornamento alla documentazione che avverte gli sviluppatori dei possibili rischi.

Tuttavia, la vulnerabilità, ormai presente da 15 anni, interessa oltre 350 mila repository open source, ed è un dato preoccupante, dato che permette l'esecuzione arbitraria di codice. In ogni caso, a oggi non risultano effettivi exploit di tale falla, sebbene il rischio rimanga presente.

Il problema riguarda il pacchetto tarfile, dove è presente del codice che utilizza la funzione tarfile.extract() senza sanitize, oppure i valori predefiniti integrati di tarfile.extractall(). Il bug è di tipo trasversale e riguarda i percorsi, di conseguenza permette a un malintenzionato di sovrascrivere file arbitrari.

trellix-x-python-247673.jpg

Un ricercatore di Trellix si è imbattuto di recente in questa vulnerabilità, mentre stava analizzando un altro problema di sicurezza. Esaminandone l'impatto, Trellix ha scoperto che tale vulnerabilità è presente in migliaia di progetti software, open source e non.

Attraverso uno scraping di un gruppo di 257 repository, con verifica manuale di 175 di questi, i ricercatori hanno scoperto che il 61% risulta vulnerabile. Con ulteriori analisi, la percentuale è salita al 65%, dunque si tratta di un problema molto diffuso.

Partendo da questo dato, Trellix stima che esistono oltre 350 mila repository vulnerabili, molti dei quali usati da strumenti di apprendimento automatico, che aiutano gli sviluppatori ad accelerare la chiusura dei progetti.

Trellix ha creato delle patch per poco più di 11 mila progetti, prevedendo di arrivare fino a 70 mila entro le prossime settimane, tuttavia, è molto difficile che tutti i progetti interessati ricevano un intervento risolutivo, soprattutto perché occorre che i responsabili accettino le richieste di merge, un fatto decisamente non scontato.

Fonte dell'articolo: www.bleepingcomputer.com

Leggi altri articoli

👋 Partecipa alla discussione! Scopri le ultime novità che abbiamo riservato per te!

0 Commenti

⚠️ Stai commentando come Ospite . Vuoi accedere?


Questa funzionalità è attualmente in beta, se trovi qualche errore segnalacelo.

Segui questa discussione
Advertisement

Non perdere gli ultimi aggiornamenti

Newsletter Telegram

I più letti di oggi


  • #1
    5 condizionatori portatili da tenere d'occhio in vista del Prime Day
  • #2
    5 ventilatori da tenere d'occhio in vista del Prime Day
  • #3
    Ora potete giocare alla PS3 su (quasi) tutti gli smartphone
  • #4
    Vendete draghi su Etsy? Potete cominciare a cambiare lavoro
  • #5
    Huawei si prepara a colpire NVIDIA dove fa più male
  • #6
    Quanto serve spendere per un robot aspirapolvere nel 2025?
Articolo 1 di 5
Un pezzo di Windows Vista ritorna in Windows 11, ma ci resterà?
Microsoft Windows risveglia ricordi nostalgici mentre Apple presenta macOS 26 Tahoe con interfaccia che ricorda Vista, creando un curioso parallelismo.
Immagine di Un pezzo di Windows Vista ritorna in Windows 11, ma ci resterà?
2
Leggi questo articolo
Articolo 2 di 5
PC workstation di fascia alta per la modellazione 3D | 2025
Una configurazione di fascia molto alta pensata per chi lavora nel campo della modellazione 3D, ma che può essere usata anche in altri ambiti.
Immagine di PC workstation di fascia alta per la modellazione 3D | 2025
1
Leggi questo articolo
Articolo 3 di 5
Compra una 4090, si ritrova una vecchia RTX 30: l'ennesima fregatura online
Tecnico scopre RTX 4090 false: tre schede erano in realtà RTX 3090 e 3080 modificate. Cliente truffato per 4.200$ con GPU contraffatte dall'estero.
Immagine di Compra una 4090, si ritrova una vecchia RTX 30: l'ennesima fregatura online
Leggi questo articolo
Articolo 4 di 5
Windows non si sblocca più col volto? Ecco perché
L'ultimo aggiornamento di Windows ha introdotto una modifica che sta interessando milioni di utenti: Windows Hello non funziona più al buio.
Immagine di Windows non si sblocca più col volto? Ecco perché
Leggi questo articolo
Articolo 5 di 5
Il Mac Mini non si accende? Apple ve lo ripara... gratis
Un difetto tecnico ha colpito una specifica categoria di Mac Mini immessi sul mercato da Apple nel corso del 2024, mobilitando l'azienda per una soluzione.
Immagine di Il Mac Mini non si accende? Apple ve lo ripara... gratis
1
Leggi questo articolo
Advertisement
Advertisement

Advertisement

Footer
Tom's Hardware Logo

 
Contatti
  • Contattaci
  • Feed RSS
Legale
  • Chi siamo
  • Privacy
  • Cookie
  • Affiliazione Commerciale
Altri link
  • Forum
Il Network 3Labs Network Logo
  • Tom's Hardware
  • SpazioGames
  • CulturaPop
  • Data4Biz
  • TechRadar
  • SosHomeGarden
  • Aibay

Tom's Hardware - Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

3LABS S.R.L. • Via Pietro Paleocapa 1 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

© 2025 3Labs Srl. Tutti i diritti riservati.