26-09-2022, 08:53
Atténuée mais non corrigée, les chercheurs de Trellix ont déterré une vulnérabilité dans le langage Python vieille de 15 ans refait surface en affectant potentiellement plus de 350 000 projets open source.
![[Image: 000000087937.jpg]](https://images.itnewsinfo.com/lmi/articles/grande/000000087937.jpg)
La faille datant de 2007 réside dans le module tarfile de Python et ouvre la voie à une attaque par traversée de répertoire.
Dévoilé en 2007 sous la classification de CVE-2007-4559 par Jan Matejek, qui était à l'époque le responsable du paquet Python pour SUSE, le bug n’a jamais reçu de correctif mais a bénéficié d’une mesure d’atténuation via une mise à jour de la documentation en avertissant les développeurs du risque. Sans preuve d’exploitation pendant toutes ces années, ce problème de sécurité est revenu à la surface cette année par Kasimir Schulz, chercheur en vulnérabilité chez Trellix.
La faille datant de 2007 réside dans le module tarfile de Python et ouvre la voie à une attaque par traversée de répertoire.
Dévoilé en 2007 sous la classification de CVE-2007-4559 par Jan Matejek, qui était à l'époque le responsable du paquet Python pour SUSE, le bug n’a jamais reçu de correctif mais a bénéficié d’une mesure d’atténuation via une mise à jour de la documentation en avertissant les développeurs du risque. Sans preuve d’exploitation pendant toutes ces années, ce problème de sécurité est revenu à la surface cette année par Kasimir Schulz, chercheur en vulnérabilité chez Trellix.
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
