Python製Webフレームワークの脆弱性を報告したはずが、Pythonの脆弱性を見つけていた話 - ラック・セキュリティごった煮ブログ
はじめに こんにちは。セキュリティアセスメント部の山根です。 ごった煮ブログの執筆者はデジタルペンテスト部のメンバーが多いですが、私はセキュリティアセスメント部の所属であり、普段はWebアプリケーションの脆弱性診断をやっています。脆弱性を見つけるのが好きで、プライベートでも脆弱性を探しています。 弊社には「IPA経由で脆弱性を報告すると報奨金がもらえる」という素晴らしい福利厚生が存在するため、脆弱性調査のモチベーションが高まります! さて、今回2つの脆弱性を発見したのですが、脆弱性が公表されるに至った経緯が興味深いものだったので紹介していきます。 CVE-2023-40587: Pyramid におけるディレクトリトラバーサルの脆弱性 CVE-2023-41105: Python における信頼性のない検索パスの脆弱性 CVE-2023-40587の発見 調査対象 最近はWebフレームワーク
【セキュリティ ニュース】「Python」のURL解析に脆弱性 - ブロックリスト回避のおそれ(1ページ目 / 全1ページ):Security NEXT
「Python」においてURLの解析に広く利用される標準ライブラリ「urllib.parse」の既知の脆弱性について注意が呼びかけられている。 空白文字で始まるURLにおいてブロックリストメソッドを回避できる脆弱性「CVE-2023-24329」について、CERT/CCが注意を呼びかけたもの。ホスト名、スキームの双方において影響を受ける。 ブラックリストにあるドメインやプロトコルのフィルタリングをバイパスし、本来アクセスが制限されるべきサイトへのアクセスやプロトコルを指定した制限などを回避することが可能。任意のファイルの読み取り、任意のコマンドの実行、サーバサイドリクエストフォージェリ(SSRF)などにつながるおそれもある。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」、重要度は4段階中2番目に
Trellix、61,000のオープンソース・プロジェクトに脆弱性パッチを適用
組織のセキュリティ対策 2023.1.26 昨年(2022年)末、Trellix Advanced Research Centerチームは、Pythonのtarfileモジュールに脆弱性があることを発見しました。この脆弱性は、15年前に発見されたCVE-2007-4559で、攻撃者が任意のファイルを上書きすることができる可能性があるものでした。CVE-2007-4559は、2007年にPythonプロジェクトに報告され、チェックされないまま、推定35万件のオープンソースプロジェクトに意図せず追加され、クローズドソースプロジェクトにも広く浸透していました。 本日(2023年1月23日)、この作業に関する最新情報をお伝えします。GitHubを通じて、当社の脆弱性調査チームは、以前からこの脆弱性の影響を受けていた61,895のオープンソースプロジェクトにパッチを適用しました。この作業は、Kasi
第2回 Pythonの脆弱性 ~ReDOS~ | gihyo.jp
では、なぜこのようなことが起きてしまうのでしょうか。具体的な脆弱性の解説に移る前に、まずはReDoSのしくみについて説明します。 ReDoSのしくみ ReDosの脆弱性を理解するためには、そもそも正規表現によるマッチングを行う処理系である、正規表現エンジンのしくみについて知る必要があります。 正規表現エンジンの概要 正規表現エンジンとは、簡単に言えば「ユーザーから受け取った文字列(入力文字列)が、正規表現で表される文字列と合致するか否か」を判定するプログラムです。そしてこのプログラムのキモとなる「正規表現文字列の解釈」と「入力文字列が合致するか否かを判定する部分」は、「有限オートマトン」を利用して実現しています。 具体的には、正規表現の文字列を有限オートマトンに変換後、入力文字列を有限オートマトンの入力として与え、文字列中に正規表現にマッチする部分があるか否かを、有限オートマトンの状態を
ソフトウェア サプライ チェーンの攻撃対象領域を制限
脅威情報 2022.11.18 行動の意図が重要であることはよく議論されますが、なぜそれが重要なのでしょうか。例えば私が携帯電話に気を取られながら歩道を歩いていて、街灯にぶつかったとしたら、私は怪我をするかもしれませんが、そこには悪意はなく、また誰かによって行われた行為でもありません。これに対して、私が同じように携帯電話を見て気を取られながら歩いているときに、誰かが私を街灯に突き飛ばし、その結果私が怪我をしたとしたら、私たちはすぐにその加害者を非難するでしょう。しかし、結果は同じで、私は怪我をしたということに変わりはありません。同じ観点からみていきましょう。 攻撃者が悪意を持ってソース コードを変更し、悪名高いSolarWindsやCodecovなどのソフトウェア サプライ チェーン攻撃を実行する場合、影響と悪意を即座に認識します。しかし、コアとなるフレームワークやライブラリに存在する脆弱
Tarfile: 15年前の脆弱性を悪用
脅威情報 2022.11.18 Trellix Advanced Research Centerでは、ある脆弱性を調査していたところ、Pythonのtarfileモジュールに脆弱性があることを偶然発見しました。当初、私たちは新しいゼロデイ脆弱性を発見したと思っていました。この問題を掘り下げていくうちに、実はこれがCVE-2007-4559であることに気づきました。この脆弱性は、tarfile モジュールの extract および extractall 関数におけるパストラバーサル攻撃であり、攻撃者は TAR アーカイブ内のファイル名に「…」シーケンスを追加することで、任意のファイルを上書きすることが可能です。 この脆弱性の影響を調査する過程で、何十万ものリポジトリがこの脆弱性を受けていることが判明しました。この脆弱性は、当初は6.8とされていましたが、ほとんどの場合、攻撃者がファイル書き込
Pythonの15年間見過ごされてきた脆弱性が30万件以上のオープンソースリポジトリに影響を与える可能性
プログラミング言語のPythonで、2007年に存在が公開されたものの修正されなかったバグが再発見されました。任意コード実行可能な脆弱性にもつながるこのバグの影響は、コーディング自動化ツールを介してさまざまなプロジェクトに広まっており、修正するべきオープンソースリポジトリが35万件以上にも及ぶと指摘されています。 Tarfile: Exploiting the World With a 15-Year-Old Vulnerability https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/tarfile-exploiting-the-world.html Tarfile: Exploiting the World With a 15-Year-Old Vulnerability https://www.trell
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【セキュリティ ニュース】Pythonの「tarfile」モジュールに脆弱性 - クリティカルも(1ページ目 / 全1ページ):Security NEXT
「Python」にセキュリティ更新 ~v3.11.5、v3.10.13、v3.9.18、v3.8.18が公開/次期バージョン「Python 3.12」の開発は順調
「Python」にセキュリティアップデート ~CVE番号ベースで5件の脆弱性を修正/v3.11.1、v3.10.9、v3.9.16、v3.8.16、v3.7.16が公開
Python の脆弱性情報(Important: CVE-2022-42919) - SIOS SECURITY BLOG
「Python」にセキュリティアップデート ~4件の脆弱性を修正/v3.10.8、v3.9.15、v3.8.15、v3.7.15が公開
「Python」に定例外のセキュリティアップデート/v3.10.7、v3.9.14、v3.8.14、v3.7.14が公開
「Python 3.9.13」が公開、シリーズ最後のバグフィックスリリース/次期バージョン「Python 3.11」の開発は順調