又是一个影响范围极大的严重漏洞,让HP、Amazon、Apache和Pivotal等知名企业的数千专案全中镖,JavaScript、Ruby、.NET与Go等开发语言生态系也都有该漏洞的足迹,开源云端监控服务Snyk的资安团队揭露了Zip Slip漏洞,这是一个任意文件覆写的臭虫,可能导致远端程式码执行攻击,Snyk提到,由于Java缺乏中央函式库提供高阶的归档(Archive)处理功能,因此最容易受到攻击。
目录走访攻击目的就是要存取根目录之外的档案以及资料夹,Snyk的漏洞白皮书提到,骇客要使用这个漏洞,有两个动作要进行,首先是恶意的归档行为,再来是路径未经验证检查的档案解压缩(Extract)。恶意的压缩档案需要包含一个或多个档案,透过在这些档案名称加入../或是绝对路径等操作变数,骇客能够存取系统中任意资料夹的任意档案,而这些档案可能包含原始程式码或是敏感资讯。
Snyk举例,假设压缩档存在两个档案,其中一个为good.sh,这个档案解压缩后会被提取到正常的目标资料夹,而另一个evil.sh档案前面加了许多../前缀,便是骇客试图要走访系统根目录,并新增档案进暂存目录的恶意行为。当使用者在根目录使用指令cd ..,则仍然会在根目录中,也就是说当恶意档案名称添加许多../,骇客便更有机会存取到根目录,以进行下一步偷取敏感资料的动作。
恶意压缩档范例:
5 Tue Jun 5 11:04:29 BST 2018 good.sh
20 Tue Jun 5 11:04:42 BST 2018 ../../../../../../../../tmp/evil.sh
Snyk提到,这样的zip压缩档必须要手动制作,因为尽管zip规范允许,但一般的压缩软件不会让使用者输入这样的路径,当然骇客也可以使用特别的工具,轻易的大量制作这样的档案。
利用Zip Slip漏洞的第二步,需要使用程式码或是函式库的功能,来解压缩压缩档中的档案,而当这些具解压缩功能的程式码没有对档案路径进行验证时,漏洞便出现了。
Snyk以Java的片段程式码当作范例解释:
Enumeration
entries = zip.getEntries();
while (entries.hasMoreElements()) {
ZipEntry e = entries.nextElement();
File f = new File(destinationDir, e.getName());
InputStream input = zip.getInputStream(e);
IOUtils.copy(input, write(f));
}
范例中的e.getName()取得了未经验证的目标目录,配合上面压缩档的案例,这个被抽取出来的evil.sh档案前会附加许多../,因此evil.sh便会被写入在目标目录之外。
Snyk表示,Zip Slip影响多种档案格式,包括tar、jar、war、cpio、apk、rar和7z。他们在GitHub中建立了存在漏洞的专案列表,其中不乏知名公司的专案,包括AWS Toolkit for Eclipse、Spring Integration,LinkedIn的Pinot OLAP数据库、Apache/Twitter Heron、阿里巴巴JStorm、Jenkins和Gradle等,但影响远不只如此,官方提到连Google也中标。
根据漏洞通报程序,在Snyk对外揭露这个漏洞前,就已经对受影响组织发出警告,多数受影响的专案也已经修复,Python在这次漏洞风暴中全身而退,Go语言只有一个函式库受到影响,在收到通知后的两天内就修复了,Ruby少数函式库存在漏洞危机,JavaScript由于有许多中央函式库,这个问题在公开揭露前,就已经全数被修复完毕,而.Net同样也有中央函式库提供抽取功能,因此目前也安全无虞。
而最严重的就属Java,再来就是Groovy,这两个语言缺乏中央函式库,即使热门的甲骨文与Apache的一般压缩API也没有对公开完整的解压缩功能,因此许多档案处理程式码都是在像是Stack Overflow这样的社群间分享,Snyk提到,他们发现有漏洞的Java专案比起其他语言还要多出许多。
Snyk建议,除了开发者需要检查解压缩程式码外,也可以在应用程序建置工作管线中,加入Zip Slip漏洞安全检测。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09