В языке программирования Python обнаружена брешь, скрывавшаяся в нем на протяжении, по меньшей мере, 15 лет. Как пишет Bleeping Computer, в связи с тем, что ее не могли устранить так долго, она проникла в несколько сотен тысяч проектов, написанных на Python.

По предварительным данным, пострадало как минимум 350 тыс. репозиториев с открытым исходным кодом. Как много программ с закрытыми исходниками содержат данную брешь, еще предстоит выяснить.

Существование уязвимости не было ни для кого тайной. Ее выявили еще в конце августа 2007 г., но не только не закрыли, но даже не присвоили ей степень опасности. Пока все, что у нее имеется – это лишь факт существования и индекс CVE-2007-4559.

Уязвимость находится в пакете tarfile Python, в части кода, где используются непроверенные функции tarfile.extract() или tarfile.extractall(). Брешь можно использовать для потенциальной перезаписи и захвата файлов на компьютере жертвы, когда уязвимое приложение открывает вредоносный tar-архив через tarfile.