События

Библиотеки для распаковки архивов подвержены опасной уязвимости Zip Slip

Библиотеки для распаковки архивов подвержены опасной уязвимости Zip Slip

Специалисты команды Synk обнародовали подробности о серьезной уязвимости Zip Slip, затрагивающей открытые библиотеки на Java, JavaScript, Python, Ruby, .NET, Go и Groovy, обрабатывающие архивированные файлы. Проблема заключается в реализации процесса распаковки архивов и позволяет распаковать архив за пределами базового каталога и переписать важные файлы, такие как системные библиотеки, конфигурационные файлы сервера и пр. Уязвимость затрагивает различные форматы, включая tar, jar, war, cpio, apk, rar и 7z.

Атакующий может проэксплуатировать уязвимость с помощью специально сформированного архива, в котором в путь сохраненного в архиве файла подставлены символы "../../". При распаковке данного файла с использованием уязвимых библиотек из-за отсутствия проверки относительного пути файл будет сохранен в папку вне базового каталога распаковки архива.

По словам исследователей, проблема в основном затрагивает библиотеки на Java из-за отсутствия официально рекомендованного инструмента для обработки архивированных файлов. В связи с этим, разработчики создают множество альтернативных решений, большинство из которых подвержены Zip Slip. Распространению уязвимости способствует и тот факт, что программисты делятся фрагментами уязвимого кода на Stack Overflow, то есть, многие разработчики могут непреднамеренно представить Zip Slip в своих приложениях, написанных на Java.

Среди решений, использующих уязвимые библиотеки, указаны пакетный менеджер npm, платформа Google Cloud, продукты Oracle, Amazon CodePipeline, AWS Toolkit for Eclipse, IBM DataPower, Alibaba JStorm, Twitter Heron, Apache Storm, Apache Hadoop, Apache Ant, Apache Maven, Apache Hive, HP Fortify Cloud Scan Jenkins Plugin, OWASP DependencyCheck. Полный список уязвимых проектов доступен на GitHub.

Специалисты также представили видео, демонстрирующее процесс эксплуатации уязвимости:

Источник

Автор: Сергей Куприянов
6.06.2018 (13:39)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.