Python-Schwachstelle gefährdet zahlreiche Open-Source-Projekte

Gastkommentar von Satnam Narang, Senior Staff Research Engineer bei Tenable

Der jüngste Bericht von Trellix zeigt, dass eine fünfhezn Jahre alte, ungepatchte Path-Traversal-Schwachstelle (CVE-2007-4559) im Tarfile-Modul von Python besteht. Das Tarfile-Modul ist eine Bibliothek, die zum Lesen und Schreiben von Bandarchivdateien (Tar) verwendet wird. Die Schwachstelle gefährdet möglicherweise über 350.000 Open-Source-Repositories, die dieses Modul in ihren Projekten verwenden. Dies ist eine Erinnerung an die Herausforderungen, die sich bei der Einbindung von Open-Source-Code in Software-Projekte stellen, insbesondere, wenn diese in Unternehmensumgebungen eingesetzt werden.

Obwohl die Entdeckung von Log4Shell in der Log4j-Bibliothek fast ein Jahr zurückliegt, finden Forscher weiterhin Schwachstellen in der gesamten Lieferkette. Dies unterstreicht, dass weiterhin mehr Ressourcen benötigt werden, um Schwachstellen in einigen der gängigsten Bibliotheken und Softwares, die heute von Unternehmen verwendet werden, zu identifizieren und zu beheben.

Initiativen wie Supply Chain Levels for Software Artifacts (SLSA) und Software Bill of Materials (SBOM) sowie Projekte wie Alpha-Omega im Rahmen der Open Source Security Foundation sollen die Sicherheitslücken innerhalb der Open-Source-Community schliessen. Dies ist ein guter Ansatz, da viele der Entwickler oft unbezahlte Mitarbeiter sind, die ihre Zeit freiwillig zur Verfügung stellen. Es gibt keine Einzellösung für das Problem der Sicherheit in der Software-Supply-Chain, aber die oben genannten Vorschläge stellen eine Möglichkeit dar, einen bedeutenden Beitrag zu leisten. Berichte wie dieser werden sicherlich nicht die letzten sein, weshalb die Verfolgung der oben genannten Initiativen äusserst wichtig ist.“