ГлавнаяБаза уязвимостей БДУ → BDU:2022-05975
6.8высокая

BDU:2022-05975 (CVE-2007-4559)

Уязвимость функций extract и extractall модуля tarfile интерпретатора языка программирования Python, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-09-28
Описание

Уязвимость функций extract и extractall модуля tarfile интерпретатора языка программирования Python связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Python (от 3.9.0 до 3.9.17)Python (от 3.10.0 до 3.10.12)Python (от 3.11.0 до 3.11.4)harbor (2.7.0)ОСОН ОСнова Оnyx (до 2.11)Python (до 3.6.16)Python (от 3.7.0 до 3.8.17)ROSA Virtualization 3.0 (3.0)
Способ устранения

Компенсирующие меры:
- запрет разархивирование файлов, полученных из недоверенных источников;
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- использование программного средства с минимально необходимым уровнем привилегий.

Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства

Использование рекомендаций:
Для Python:
http://mail.python.org/pipermail/python-dev/2007-August/074290.html
http://mail.python.org/pipermail/python-dev/2007-August/074290.html
http://mail.python.org/pipermail/python-dev/2007-August/074292.html
http://mail.python.org/pipermail/python-dev/2007-August/074292.html



Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения samba до версии 2:4.18.11+repack-1osnova2

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2825

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
http://mail.python.org/pipermail/python-dev/2007-August/074290.htmlhttp://mail.python.org/pipermail/python-dev/2007-August/074292.htmlhttp://www.vupen.com/english/advisories/2007/3022https://bugzilla.redhat.com/show_bug.cgi?id=263261https://www.securitylab.ru/news/534031.phphttps://tv.cnews.ru/video/ekspluataciya_uyazvimosti_cve-2007-4559_v_python.shtmhttps://xakep.ru/2022/09/22/cve-2007-4559/lhttps://nvd.nist.gov/vuln/detail/CVE-2007-4559
Проверьте безопасность своего сайта и почты → Полная проверка домена