Hay fallos de seguridad que tienen tanta antigüedad que incluso estaban ahí antes del nacimiento de algunas famosas redes sociales y aplicaciones móviles. De hecho, son más veteranos incluso que la propia App Store de Apple.
Es el caso del que nos ocupa hoy. Un agujero de seguridad en un módulo de Python que no ha sido parcheado en 15 años habría dejado expuestos a hasta 350.000 proyectos de código abierto.
Estos repositorios open source abarcarían verticales de todo tipo dentro de la industria, desde desarrollo de software, IA/aprendizaje automático, desarrollo web, medios, seguridad, gestión de TI, etc.
A la vulnerabilidad se le ha dado una puntuación CVSS de 6,8 y se la ha identificado como CVE-2007-4559. El error de seguridad se reveló originalmente en agosto de 2007.
Una vulnerabilidad con trienios
Según publica The Hacker News, sus raíces se pueden encontrar en el módulo tarfile, cuya explotación exitosa podría conducir a la ejecución de código desde una escritura de archivo arbitraria.
Recoge cómo es posible aprovechar un archivo tar especialmente diseñado para sobreescribir archivos arbitrarios en un máquna de destino simplemente al abrirlo.
"Si no se controla, esta vulnerabilidad se ha agregado involuntariamente a cientos de miles de proyectos de código abierto y cerrado en todo el mundo, creando una superficie de ataque sustancial en la cadena de suministro de software", advierte Douglas McKee, ingeniero principal y director de investigación de vulnerabilidades en Trellix.
Trellix ha lanzado una utilidad personalizada llamada Creosote para buscar proyectos vulnerables a CVE-2007-4559, usándola para descubrir la vulnerabilidad en el IDE de Spyder Python, así como en Polemarch.