Risiken der Software-Lieferkette Sicherheitslücke gefährdet rund 350.000 Open-Source-Projekte

Von Peter Schmitz

Anbieter zum Thema

Das neu gegründete Trellix Advanced Research Center liefert detaillierte Informationen zu CVE-2007-4559, einer 15 Jahre alten Sicherheitslücke im Python-Modul für Tar-Dateien, von der nicht nur über 350.000 Open-Source-, sondern auch Closed-Source-Projekte betroffen sein dürften.

Open-Source-Programme wie Python sind unverzichtbare Instrumente zur Förderung von Innovationen im IT-Sektor. Jetzt macht eine Sicherheitslücke im Python-Modul für Tar-Dateien wahrscheinlich Hunderttausende Open-Source-Projekte verwundbar.
Open-Source-Programme wie Python sind unverzichtbare Instrumente zur Förderung von Innovationen im IT-Sektor. Jetzt macht eine Sicherheitslücke im Python-Modul für Tar-Dateien wahrscheinlich Hunderttausende Open-Source-Projekte verwundbar.
(Bild: Skórzewiak - stock.adobe.com)

Die Schwachstelle CVE-2007-4559 befindet sich im Python-Modul für Tar-Dateien, einem Standardmodul in allen Projekten, die Python verwenden, und ist in den Frameworks von Netflix, AWS, Intel, Facebook und Google sowie in Anwendungen für Machine Learning, Automatisierung und Docker-Containerisierung weit verbreitet. Durch das Hochladen einer bösartigen Datei kann die Sicherheitslücke ausgenutzt werden, die mit zwei oder drei Zeilen einfachen Codes generiert wird und Angreifern möglicherweise die Ausführung beliebigen Codes oder die Kontrolle über ein Zielgerät ermöglicht, wie die Security-Experten von Trellix demonstrieren konnten.

„Wenn wir von Bedrohungen der Software-Lieferkette sprechen, meinen wir meist Cyber-Angriffe wie SolarWinds. Dabei sollte uns längst klar sein, dass ein schwaches Code-Fundament ernste Auswirkungen auf die Sicherheit der darauf aufbauenden Programme haben kann“, erklärt Christiaan Beek, Head of Adversarial & Vulnerability Research bei Trellix. „Viele IT-Handbücher und Online-Schulungsmaterialien ignorieren diese Gefahr und sorgen so dafür, dass die Sicherheitslücke über Jahre bestehen bleibt. Es ist daher extrem wichtig, Entwickler über alle Schichten des Technologie-Stacks aufzuklären, damit Bedrohungen aus der Vergangenheit nicht erneut virulent werden können.“

Open-Source-Programme wie Python sind unverzichtbare Instrumente zur Förderung von Innovationen im IT-Sektor. Für einen zuverlässigen Schutz vor bekannten Gefahren braucht es daher die Zusammenarbeit aller Beteiligten aus der gesamten Branche. Trellix selbst setzt auf die Code-Übernahme über einen GitHub Pull Request, um Open-Source-Projekte effektiv zu schützen. Auf der GitHub-Seite des Trellix Advanced Research Center finden Entwickler ein Tool, mit dem sie ihre Anwendungen auf den Bug überprüfen können.

(ID:48598404)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung