Verstehen des Pfad-Navigationsfehlers im Python-Tarfile-Modul
Kürzlich gab ein Team von Sicherheitsforschern bekannt, dass es einen 15 Jahre alten Fehler in der Tar-Datei-Extraktionsfunktion von Python entdeckt hat. Diese Schwachstelle wurde erstmals 2007 veröffentlicht und wie folgt nachverfolgt: CVE-2007-4559. In der offiziellen Python-Dokumentation wurde ein Hinweis hinzugefügt, aber der Fehler selbst wurde nicht behoben.
Diese Schwachstelle kann Tausende von Softwareprojekten betreffen, doch viele Menschen sind mit der Situation und den Bewältigungsmethoden nicht vertraut. Genau aus diesem Grund gibt es Secure Code Warrior. Wir simulieren die Ausnutzung dieser Schwachstelle, um ihre Auswirkungen zu veranschaulichen, und bieten Ihnen die Möglichkeit, den Mechanismus dieses permanenten Fehlers selbst zu erleben. So können Sie Ihre Anwendungen besser schützen!
Simulationsmission jetzt.
Schwachstelle: Pfadnavigation beim Extrahieren von tar-Dateien
Das Durchsuchen von Pfaden oder Verzeichnissen tritt auf, wenn nicht gelöschte Benutzereingaben beim Erstellen von Dateipfaden verwendet werden. Dadurch können Angreifer auf Dateien zugreifen, diese überschreiben und beliebigen Code ändern.
Diese Schwachstelle befindet sich in Python. Das Tar-Dateimodul.tar (Tape Archive) ist eine einzelne Datei, die als Archiv bezeichnet wird. Es handelt sich um ein Paket, das mehrere Dateien zusammen mit Metadaten enthält und in der Regel wie folgt erkannt werden kann: .tar.gz oder .tgz. Jedes Mitglied der entpackten Archivierung kann wie folgt sein: Tar-Informationsdatei Objekt, das Metadaten wie Dateiname, Änderungszeitpunkt, Eigentumsrechte usw. enthält.
Es besteht ein Risiko, da das Archiv erneut extrahiert werden kann.
Beim Extrahieren wird ein Name benötigt, der für alle Mitglieder verwendet wird. Dieser Speicherort verweist auf den Standarddateipfad.
Wenn dieser Pfad erstellt wurde, wird er an den folgenden Pfad weitergeleitet. Tar-Datei extrahieren oder Star-Datei. Vollständige Extraktion Funktion zum Extrahieren:
Das Problem mit den Dateien besteht darin, dass die Namen nicht ausreichend hygienisch sind. Ein Angreifer kann den Dateinamen so ändern, dass er folgende Pfadnavigationszeichen enthält. Durch die Verwendung von Doppelpunkt-Doppelpunkt-Schrägstrich (../) kann es sich um die ursprüngliche Datei handeln.
Wenn Sie wissen, wie man Schwachstellen identifiziert, treten diese auch in anderen Szenarien auf. Die Schwachstelle bei der Verarbeitung von tar-Dateien in Python ist wie folgt: Entpacken von zip-Dateien. Sie kennen diesen Inhalt möglicherweise unter dem folgenden Namen: Zip-Slipper-Schwachstelle. Auch in anderen Sprachen als Python hat sich ihr Wert gezeigt!
Wie kann man das Risiko mindern?
<<이 취약점이 수년간 우리에게 다가왔어요. 파이썬 기능이 제대로 작동하고 있다고 생각해요. 해야 할 일.이 경우 “버그가 기능이야” 라고 말하는 사람이 없는 것입니다.안타깝게도 개발자들이 알 수 없는 곳에서 tar 또는 zip 파일을 추출하는 것을 항상 기억할 수 없습니다.보안 관행의 일환으로 경로 탐색 취약점을 지키기 위해 최선을 다하는 것은 개발자의 몫입니다.
Möchten Sie mehr darüber erfahren, wie Sie mit Python Sicherheitscode schreiben und Risiken mindern können?
Sehen Sie sich unsere Testprodukte an: Python Challenge kostenlos.
Wenn Sie an weiteren kostenlosen Codierungsrichtlinien interessiert sind, schauen Sie wieder vorbei. Secure Code Coach hilft Ihnen dabei, Ihre Sicherheitspraktiken auf dem neuesten Stand zu halten.
Ein Sicherheitsforschungsteam hat kürzlich bekannt gegeben, dass es einen 15 Jahre alten Fehler in der Tar-Datei-Extraktionsfunktion von Python entdeckt hat. Diese Schwachstelle wurde 2007 veröffentlicht und zunächst unter der Kategorie CVE-2007-4559 erfasst. Obwohl ein Hinweis in die offizielle Python-Dokumentation aufgenommen wurde, wurde der Fehler bis heute nicht behoben.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Laura Verheyde ist Softwareentwicklerin bei Secure Code Warrior und beschäftigt sich mit der Erforschung von Schwachstellen und der Erstellung von Inhalten für Missions und Coding Labs.
Kürzlich gab ein Team von Sicherheitsforschern bekannt, dass es einen 15 Jahre alten Fehler in der Tar-Datei-Extraktionsfunktion von Python entdeckt hat. Diese Schwachstelle wurde erstmals 2007 veröffentlicht und wie folgt nachverfolgt: CVE-2007-4559. In der offiziellen Python-Dokumentation wurde ein Hinweis hinzugefügt, aber der Fehler selbst wurde nicht behoben.
Diese Schwachstelle kann Tausende von Softwareprojekten betreffen, doch viele Menschen sind mit der Situation und den Bewältigungsmethoden nicht vertraut. Genau aus diesem Grund gibt es Secure Code Warrior. Wir simulieren die Ausnutzung dieser Schwachstelle, um ihre Auswirkungen zu veranschaulichen, und bieten Ihnen die Möglichkeit, den Mechanismus dieses permanenten Fehlers selbst zu erleben. So können Sie Ihre Anwendungen besser schützen!
Simulationsmission jetzt.
Schwachstelle: Pfadnavigation beim Extrahieren von tar-Dateien
Das Durchsuchen von Pfaden oder Verzeichnissen tritt auf, wenn nicht gelöschte Benutzereingaben beim Erstellen von Dateipfaden verwendet werden. Dadurch können Angreifer auf Dateien zugreifen, diese überschreiben und beliebigen Code ändern.
Diese Schwachstelle befindet sich in Python. Das Tar-Dateimodul.tar (Tape Archive) ist eine einzelne Datei, die als Archiv bezeichnet wird. Es handelt sich um ein Paket, das mehrere Dateien zusammen mit Metadaten enthält und in der Regel wie folgt erkannt werden kann: .tar.gz oder .tgz. Jedes Mitglied der entpackten Archivierung kann wie folgt sein: Tar-Informationsdatei Objekt, das Metadaten wie Dateiname, Änderungszeitpunkt, Eigentumsrechte usw. enthält.
Es besteht ein Risiko, da das Archiv erneut extrahiert werden kann.
Beim Extrahieren wird ein Name benötigt, der für alle Mitglieder verwendet wird. Dieser Speicherort verweist auf den Standarddateipfad.
Wenn dieser Pfad erstellt wurde, wird er an den folgenden Pfad weitergeleitet. Tar-Datei extrahieren oder Star-Datei. Vollständige Extraktion Funktion zum Extrahieren:
Das Problem mit den Dateien besteht darin, dass die Namen nicht ausreichend hygienisch sind. Ein Angreifer kann den Dateinamen so ändern, dass er folgende Pfadnavigationszeichen enthält. Durch die Verwendung von Doppelpunkt-Doppelpunkt-Schrägstrich (../) kann es sich um die ursprüngliche Datei handeln.
Wenn Sie wissen, wie man Schwachstellen identifiziert, treten diese auch in anderen Szenarien auf. Die Schwachstelle bei der Verarbeitung von tar-Dateien in Python ist wie folgt: Entpacken von zip-Dateien. Sie kennen diesen Inhalt möglicherweise unter dem folgenden Namen: Zip-Slipper-Schwachstelle. Auch in anderen Sprachen als Python hat sich ihr Wert gezeigt!
Wie kann man das Risiko mindern?
<<이 취약점이 수년간 우리에게 다가왔어요. 파이썬 기능이 제대로 작동하고 있다고 생각해요. 해야 할 일.이 경우 “버그가 기능이야” 라고 말하는 사람이 없는 것입니다.안타깝게도 개발자들이 알 수 없는 곳에서 tar 또는 zip 파일을 추출하는 것을 항상 기억할 수 없습니다.보안 관행의 일환으로 경로 탐색 취약점을 지키기 위해 최선을 다하는 것은 개발자의 몫입니다.
Möchten Sie mehr darüber erfahren, wie Sie mit Python Sicherheitscode schreiben und Risiken mindern können?
Sehen Sie sich unsere Testprodukte an: Python Challenge kostenlos.
Wenn Sie an weiteren kostenlosen Codierungsrichtlinien interessiert sind, schauen Sie wieder vorbei. Secure Code Coach hilft Ihnen dabei, Ihre Sicherheitspraktiken auf dem neuesten Stand zu halten.
Kürzlich gab ein Team von Sicherheitsforschern bekannt, dass es einen 15 Jahre alten Fehler in der Tar-Datei-Extraktionsfunktion von Python entdeckt hat. Diese Schwachstelle wurde erstmals 2007 veröffentlicht und wie folgt nachverfolgt: CVE-2007-4559. In der offiziellen Python-Dokumentation wurde ein Hinweis hinzugefügt, aber der Fehler selbst wurde nicht behoben.
Diese Schwachstelle kann Tausende von Softwareprojekten betreffen, doch viele Menschen sind mit der Situation und den Bewältigungsmethoden nicht vertraut. Genau aus diesem Grund gibt es Secure Code Warrior. Wir simulieren die Ausnutzung dieser Schwachstelle, um ihre Auswirkungen zu veranschaulichen, und bieten Ihnen die Möglichkeit, den Mechanismus dieses permanenten Fehlers selbst zu erleben. So können Sie Ihre Anwendungen besser schützen!
Simulationsmission jetzt.
Schwachstelle: Pfadnavigation beim Extrahieren von tar-Dateien
Das Durchsuchen von Pfaden oder Verzeichnissen tritt auf, wenn nicht gelöschte Benutzereingaben beim Erstellen von Dateipfaden verwendet werden. Dadurch können Angreifer auf Dateien zugreifen, diese überschreiben und beliebigen Code ändern.
Diese Schwachstelle befindet sich in Python. Das Tar-Dateimodul.tar (Tape Archive) ist eine einzelne Datei, die als Archiv bezeichnet wird. Es handelt sich um ein Paket, das mehrere Dateien zusammen mit Metadaten enthält und in der Regel wie folgt erkannt werden kann: .tar.gz oder .tgz. Jedes Mitglied der entpackten Archivierung kann wie folgt sein: Tar-Informationsdatei Objekt, das Metadaten wie Dateiname, Änderungszeitpunkt, Eigentumsrechte usw. enthält.
Es besteht ein Risiko, da das Archiv erneut extrahiert werden kann.
Beim Extrahieren wird ein Name benötigt, der für alle Mitglieder verwendet wird. Dieser Speicherort verweist auf den Standarddateipfad.
Wenn dieser Pfad erstellt wurde, wird er an den folgenden Pfad weitergeleitet. Tar-Datei extrahieren oder Star-Datei. Vollständige Extraktion Funktion zum Extrahieren:
Das Problem mit den Dateien besteht darin, dass die Namen nicht ausreichend hygienisch sind. Ein Angreifer kann den Dateinamen so ändern, dass er folgende Pfadnavigationszeichen enthält. Durch die Verwendung von Doppelpunkt-Doppelpunkt-Schrägstrich (../) kann es sich um die ursprüngliche Datei handeln.
Wenn Sie wissen, wie man Schwachstellen identifiziert, treten diese auch in anderen Szenarien auf. Die Schwachstelle bei der Verarbeitung von tar-Dateien in Python ist wie folgt: Entpacken von zip-Dateien. Sie kennen diesen Inhalt möglicherweise unter dem folgenden Namen: Zip-Slipper-Schwachstelle. Auch in anderen Sprachen als Python hat sich ihr Wert gezeigt!
Wie kann man das Risiko mindern?
<<이 취약점이 수년간 우리에게 다가왔어요. 파이썬 기능이 제대로 작동하고 있다고 생각해요. 해야 할 일.이 경우 “버그가 기능이야” 라고 말하는 사람이 없는 것입니다.안타깝게도 개발자들이 알 수 없는 곳에서 tar 또는 zip 파일을 추출하는 것을 항상 기억할 수 없습니다.보안 관행의 일환으로 경로 탐색 취약점을 지키기 위해 최선을 다하는 것은 개발자의 몫입니다.
Möchten Sie mehr darüber erfahren, wie Sie mit Python Sicherheitscode schreiben und Risiken mindern können?
Sehen Sie sich unsere Testprodukte an: Python Challenge kostenlos.
Wenn Sie an weiteren kostenlosen Codierungsrichtlinien interessiert sind, schauen Sie wieder vorbei. Secure Code Coach hilft Ihnen dabei, Ihre Sicherheitspraktiken auf dem neuesten Stand zu halten.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Laura Verheyde ist Softwareentwicklerin bei Secure Code Warrior und beschäftigt sich mit der Erforschung von Schwachstellen und der Erstellung von Inhalten für Missions und Coding Labs.
Kürzlich gab ein Team von Sicherheitsforschern bekannt, dass es einen 15 Jahre alten Fehler in der Tar-Datei-Extraktionsfunktion von Python entdeckt hat. Diese Schwachstelle wurde erstmals 2007 veröffentlicht und wie folgt nachverfolgt: CVE-2007-4559. In der offiziellen Python-Dokumentation wurde ein Hinweis hinzugefügt, aber der Fehler selbst wurde nicht behoben.
Diese Schwachstelle kann Tausende von Softwareprojekten betreffen, doch viele Menschen sind mit der Situation und den Bewältigungsmethoden nicht vertraut. Genau aus diesem Grund gibt es Secure Code Warrior. Wir simulieren die Ausnutzung dieser Schwachstelle, um ihre Auswirkungen zu veranschaulichen, und bieten Ihnen die Möglichkeit, den Mechanismus dieses permanenten Fehlers selbst zu erleben. So können Sie Ihre Anwendungen besser schützen!
Simulationsmission jetzt.
Schwachstelle: Pfadnavigation beim Extrahieren von tar-Dateien
Das Durchsuchen von Pfaden oder Verzeichnissen tritt auf, wenn nicht gelöschte Benutzereingaben beim Erstellen von Dateipfaden verwendet werden. Dadurch können Angreifer auf Dateien zugreifen, diese überschreiben und beliebigen Code ändern.
Diese Schwachstelle befindet sich in Python. Das Tar-Dateimodul.tar (Tape Archive) ist eine einzelne Datei, die als Archiv bezeichnet wird. Es handelt sich um ein Paket, das mehrere Dateien zusammen mit Metadaten enthält und in der Regel wie folgt erkannt werden kann: .tar.gz oder .tgz. Jedes Mitglied der entpackten Archivierung kann wie folgt sein: Tar-Informationsdatei Objekt, das Metadaten wie Dateiname, Änderungszeitpunkt, Eigentumsrechte usw. enthält.
Es besteht ein Risiko, da das Archiv erneut extrahiert werden kann.
Beim Extrahieren wird ein Name benötigt, der für alle Mitglieder verwendet wird. Dieser Speicherort verweist auf den Standarddateipfad.
Wenn dieser Pfad erstellt wurde, wird er an den folgenden Pfad weitergeleitet. Tar-Datei extrahieren oder Star-Datei. Vollständige Extraktion Funktion zum Extrahieren:
Das Problem mit den Dateien besteht darin, dass die Namen nicht ausreichend hygienisch sind. Ein Angreifer kann den Dateinamen so ändern, dass er folgende Pfadnavigationszeichen enthält. Durch die Verwendung von Doppelpunkt-Doppelpunkt-Schrägstrich (../) kann es sich um die ursprüngliche Datei handeln.
Wenn Sie wissen, wie man Schwachstellen identifiziert, treten diese auch in anderen Szenarien auf. Die Schwachstelle bei der Verarbeitung von tar-Dateien in Python ist wie folgt: Entpacken von zip-Dateien. Sie kennen diesen Inhalt möglicherweise unter dem folgenden Namen: Zip-Slipper-Schwachstelle. Auch in anderen Sprachen als Python hat sich ihr Wert gezeigt!
Wie kann man das Risiko mindern?
<<이 취약점이 수년간 우리에게 다가왔어요. 파이썬 기능이 제대로 작동하고 있다고 생각해요. 해야 할 일.이 경우 “버그가 기능이야” 라고 말하는 사람이 없는 것입니다.안타깝게도 개발자들이 알 수 없는 곳에서 tar 또는 zip 파일을 추출하는 것을 항상 기억할 수 없습니다.보안 관행의 일환으로 경로 탐색 취약점을 지키기 위해 최선을 다하는 것은 개발자의 몫입니다.
Möchten Sie mehr darüber erfahren, wie Sie mit Python Sicherheitscode schreiben und Risiken mindern können?
Sehen Sie sich unsere Testprodukte an: Python Challenge kostenlos.
Wenn Sie an weiteren kostenlosen Codierungsrichtlinien interessiert sind, schauen Sie wieder vorbei. Secure Code Coach hilft Ihnen dabei, Ihre Sicherheitspraktiken auf dem neuesten Stand zu halten.
Inhaltsverzeichnis
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
