+372 5626264

Avastati kriitiline haavatavus Python TarFile moodulis

Infoturbe eksperdid avastavad viis haavatavust Python TarFile moodulis, millest üks on kriitilise ohtlikkuse astmega ja võimaldab kirjutada faile mis tahes failisüsteemi osasse spetsiaalselt ettevalmistatud arhiivide lahtipakkimisel.

G. Ostrov

Turvalisuse uurijad avastavad tõsiseid haavatavusi Python TarFile moodulis, mis kuulub standardsesse Python paketti ja pakub funktsioone tar-arhiivide töötlemiseks. Avastati viis haavatavust, millest üks klassifitseeriti kui kriitiline.

Kriitiline haavatavus CVE-2025-4517

Kõige ohtlikum haavatavus sai identifikaatori CVE-2025-4517 ja võimaldab spetsiaalselt vormistatud arhiivi lahtipakkimisel kirjutada faile mis tahes failisüsteemi osasse. See võib põhjustada:

  • Õiguste tõstmist süsteemis
  • Isoleeritud konteinerist väljumist
  • Süsteemi kompromiteerimist root-õigustega skriptide kasutamisel

Haavatavus mõjutab projekte, mis kasutavad funktsioone TarFile.extractall() või TarFile.extract() parameetriga filter, mis on seatud väärtusele \"data\" või \"tar\". Probleem on põhjustatud vale \"..\" järjestuse töötlemisest lingi nimes.

Lisahaavatavused

Peale kriitilise haavatavuse avastati veel neli turvaprobleemi:

CVE-2025-4330

Võimalus mööda hiilida ekstraktimise filtritest, mis võib viia sümboliliste linkide ekstraktimiseni, mis osutavad väljapoole baaskataloogi.

CVE-2025-4138

Võimalus luua suvalisi sümbolilisi linke väljaspool baaskataloogi parameetri filter=\"data\" kasutamisel.

CVE-2024-12718

Võimalus muuta failide metaandmeid väljaspool baaskataloogi, sealhulgas muutmise aega ja juurdepääsuõigusi.

CVE-2025-4435

Vale käitumine parameetri TarFile.errorlevel seadmisel väärtusele 0, kui failid pakiti lahti selle asemel, et neid ignoreerida.

Parandused ja soovitused

Kõik haavatavused on parandatud Python versioonides 3.13.4 ja 3.12.11. Arendajatele soovitatakse tungivalt:

  • Uuendada Python viimastele versioonidele
  • Üle vaadata TarFile moodulit kasutav kood
  • Vältida ebausaldusväärste arhiivide lahtipakkimist ilma lisakontrollideta
  • Kasutada turvaliseid filtreid arhiividega töötamisel

Mõju turvalisusele

Haavatavused on eriti ohtlikud:

  • Pakettide haldussüsteemidele
  • Konteineritehnoloogiatele
  • Veebirakenduste, mis töötlevad üleslaaditud arhiive
  • Automatiseeritud andmetöötluse süsteemidele

Süsteemiadministraatorid peaksid viivitamatult uuendama Python versioone ja kontrollima rakendusi, mis kasutavad TarFile moodulit väliste andmete töötlemiseks.

Üksikasjalik teave haavatavuste kohta on saadaval ametlikus Python repositooriumis.

Probleemide korral kirjutage meile, aitame kiiresti ja kvaliteetselt!