聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
Synk公司的安全研究员披露了影响处理压缩文件的开源编码库的严重漏洞“Zip Slip(“压缩失误”)”。
研究员指出,”Zip Slip” 漏洞存在于编程人员、插件和库实现解压压缩文件的进程方法中。多种压缩格式如 “tar”、”jar”、”war”、”cpio”、”apk”、”rar” 和 “7z” 均受影响。也就是说该漏洞问题更多的是一个理论性问题,而非某个具体的编程 bug。
可导致文件被解压到错误的位置
研究人员指出,”Zip Slip” 是“任意文件覆写”和“目录遍历”问题的结合体,可导致攻击者将文件解压到正常的解压路径中并覆写敏感文件如重要的 OS 库或者服务器配置文件。
Synk 团队在安全公告中指出,“利用这个漏洞的两个条件是恶意文件归档和不执行验证检查的提取代码。”
研究人员指出在4月份发现该缺陷,并且一直都在和易受攻击的多个开源库的维护人员一起努力。
多个开源库受影响
Synk 团队已在 GitHub 上发布了易受 “Zip Slip” 漏洞影响的库列表。
虽然用多种语言编写的库受影响如 JavaScript、Python、Ruby、.NET、Go 和 Groovy,但该问题主要影响的是 Java 生态系统,因为该生态系统中并不存在处理归档日志文件的官方库,开发人员通过创建并使用多种库来实现同样的目的,因此这些库多数均受 “Zip Slip” 漏洞影响。另外,这个漏洞的传播范围非常广泛,甚至是 StackOverflow 网站上分享的某些代码也易受影响,也就是说很多用 Java 编写的桌面、移动或 web 应用可能均受该漏洞影响,而开发人员对此可能毫不知情。
为了帮助开发人员更好地理解 “Zip Slip” 攻击并帮助他们更好地检测自己的应用是否受影响,Synk 团队已发布技术论文,更加深入地详述了这个漏洞的情况。另外,研究人员也公布了PoC 代码,便于开发人员检测漏洞是否存在。
https://www.bleepingcomputer.com/news/security/zip-slip-vulnerability-affects-thousands-of-projects-across-multiple-ecosystems/
领取专属 10元无门槛券
私享最新 技术干货