В языке программирования Python обнаружена брешь, существовавшая, как минимум, 15 лет, которая могла проникнуть в сотни тысяч проектов, написанных на Python
По предварительным данным, пострадало как минимум 350 тыс. репозиториев с открытым исходным кодом. Как много программ с закрытыми исходниками содержат данную уязвимость, неизвестно.
Уязвимость находится в пакете tarfile Python, в части кода, где используются непроверенные функции tarfile.extract() или tarfile.extractall().
Уязвимость можно использовать для потенциальной перезаписи и захвата файлов на компьютере жертвы, когда уязвимое приложение открывает вредоносный tar-архив через tarfile.
Дыра в безопасности была выявлена еще в конце августа 2007 года, но за 15 лет ее не закрыли, лишь присвоили ей индекс CVE-2007-4559.
Уязвимость всплыла ранее в этом году, когда один из исследователей компании Trellix исследовал другие уязвимости.
