当前位置: 首页 > news >正文

Trellix自动化大规模修复开源漏洞,已修补超6万个项目

Trellix自动化大规模修复开源漏洞

Charlie Osborne
2023年1月26日 13:52 UTC
更新:2023年1月55日 13:55 UTC

Trellix借助自动化工具大幅加速修复过程,已修补超过61,000个开源项目中的一个严重Python漏洞。

去年,Trellix高级研究中心团队偶然发现Python的tarfile模块中嵌入了一个存在15年的漏洞。该漏洞被追踪为CVE-2007-4559,描述为路径遍历问题,导致“用户辅助的远程攻击者”能够通过“TAR存档文件名中的..(点点)序列”覆盖任意文件。

背景:2007年的Tarfile路径遍历漏洞仍存在于35万个开源仓库中

据Trellix研究员Douglas McKee称,尽管该安全漏洞在2017年已被报告,但它“未被检查”或未解决。结果,该漏洞被无意中包含在大约350,000个开源项目中,并在许多闭源项目中“普遍存在”。

然而,根据1月23日的一篇博客文章,Trellix一直与GitHub合作以遏制该漏洞——当如此多的项目易受攻击时,这是一项艰巨的任务。

这家网络安全公司表示:“易受攻击的tarfile模块包含在基础Python包中[...]如果没有Python的直接修复,它也会牢牢嵌入许多项目的供应链中。”

由Kasimir Schulz和Charles McFarland领导的这个长达数月的项目专注于自动修补包含易受攻击代码的开源仓库。

批量拉取请求策略

灵感显然来自Jonathan Leitschuh在DEFCON 2022上的演讲,该演讲讨论了使用自动化批量拉取请求生成作为修复开源漏洞的可扩展方法。

Trellix和GitHub将过程分为两个阶段,两个阶段都是自动化的,只需要执行,质量控制和接受则由项目所有者负责。

第一步是开发补丁本身。Trellix获取了包含关键字“import tarfile”的仓库和文件列表,然后使用Creosote克隆和扫描每个仓库。

McKee解释说:“如果确定仓库包含漏洞,我们修补了文件并创建了一个本地补丁差异,其中包含修补后的文件,以便用户可以轻松比较两个文件、原始文件以及有关仓库的一些元数据。”

在拉取请求阶段,网络安全团队创建了仓库分支,克隆它们,并在原始文件未更改的情况下用修补版本替换原始文件。实施此检查是为了确保修补替换避免忽略或覆盖项目代码的最新添加。

最后,提交文件,生成拉取请求,并发送一条消息解释分支,并要求所有者接受或拒绝更改。

扩大规模

Trellix高级研究中心的漏洞研究员Kasimir Schulz告诉The Daily Swig,Creosote和修补程序可以一起在几秒钟内执行仓库扫描、检测错误并应用补丁——而即使是最熟练的开发人员在没有工具帮助的情况下也需要几分钟才能完成相同的操作。

Schulz指出:“虽然这种差异对于少数仓库来说并不重要,但随着规模的扩大,可以很快感受到。”

通过GitHub,Trellix团队迄今已修补了61,895个开源项目。

Schulz表示,最近在ShmooCon上的讨论为在Python本身中修补该漏洞创造了“新动力”,甚至可能“为修复提供经济奖励的可能性”。

Schulz总结道:“软件和供应链变得越来越复杂。有更多人和公司构建大量不同的软件。因此,试图减少攻击面是一场必败之战。相反,我们应该专注于通过自动化工具审计我们自己的供应链,保护攻击面,而不是在一场无法获胜的战斗中浪费时间。”
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码

http://www.sczhlp.com/news/125289/

相关文章:

  • 计算机软件包含网站开发验证wordpress
  • 网站做的跟别人的一样可以吗服务平台是什么意思
  • 创建网站的工作流程八年级信息技术基于 seajs 的高性能网站开发和优化实践_王保平(淘宝)
  • 如何让新网站广告投放平台排名
  • 常州网站建设联系电话如何做一张网站平面效果图
  • 提供做网站费用软文营销的作用
  • 旅游便宜网站建设天津网站建设推荐安徽秒搜科技
  • 上海网站建设公司排名怎么制作做网站
  • 怎么在网站挂黑链接最新国际军事新闻
  • 网站建设备案查询延安网站建设报价
  • 爆款游戏背后:尚娱如何借助阿里云 Kafka Serverless 轻松驾驭“潮汐流量”?
  • 做视频网站需要哪些技术网站设计文稿
  • 幸运飞艇网站建设室内装修设计学习网
  • 网站建设听取需求推广什么意思
  • 深圳定制建设网站ui网页界面设计
  • 杨浦科技网站建设海南百度推广总代理
  • 网站建设合同的要素及签订注意事项515ppt模板网
  • 网站开发工程师职业外包服务公司是干什么的
  • 温州网站建设服务器怎样自己制作公司网站上传
  • 帮人做彩票网站网站编程学
  • 手机网站建设和男女做差差事的视频网站
  • 个人网站的建设与管理如何用手机开发游戏
  • 营销网站服务器在自己电脑上建设网站
  • 智能建站是什么js调用wordpress
  • 做电影网站 资源去哪里找中国最新军事新闻头条
  • 版本速递 | 华为云Versatile智能体平台 新增特性介绍(2025年9月发布)
  • 哈尔滨模板做网站wordpress 添加js引用
  • 企业网站开发价格wordpress 可视化插件
  • 公司做一个网站多少钱网站开发年收入
  • 服务器密码能给做网站的吗网络推广培训论坛