В Python так и не закрыли уязвимость, найденную ещё в 2007 году, утверждается в отчёте Trellix. Под ударом сейчас находится более 350 тысяч проектов с открытым исходным кодом.
Как пишет Bleeping Computer, в связи с тем, что ее не могли устранить так долго, она проникла в несколько сотен тысяч проектов, написанных на Python. Проблема CVE-2007-4559 была найдена в пакете tarfile и относится к типу path traversal (обход каталога), то есть позволяет злоумышленнику перезаписывать произвольные файлы.
Уязвимость существует из-за того, что код в функции extract в Python-модуле tarfile доверяет информации в объекте TarInfo.
@BookPython
