Игра Яндекс Практикума
Игра Яндекс Практикума
Игра Яндекс Практикума
Написать пост

Обнаружена уязвимость Zip Slip, позволяющая переписывать системные файлы

Новости Отредактировано

Под угрозой многие открытые библиотеки, работающие с архивацией файлов. Zip Slip затронула такие форматы архивов, как tar, jar, war, cpio, apk, rar и 7z.

2К открытий2К показов

Исследователи из Snyk опубликовали доклад, описывающий уязвимость под названием Zip Slip. Ей подвержены библиотеки с открытым исходным кодом, организующие работу с архивацией файлов. Затронуты такие форматы архивов, как tar, jar, war, cpio, apk, rar и 7z.

Команда специалистов обнаружила ошибку в апреле 2018 года, а затем проводила расследование совместно с разработчиками уязвимых open source библиотек.

Как работает Zip Slip?

Согласно докладу Snyk, для работы уязвимости необходим специально созданный архив с особенными файлами внутри. Они должны содержать название с «подменой директории», например, ../../evil.sh. Такие файлы пробираются вверх по дереву каталогов, пока не достигнут корня. С помощью них злоумышленник может переписать или повредить ключевые файлы ОС путем удаленного запуска кода или встраивания вредоносного ПО.

Кроме специально созданного файла, для работы уязвимости необходим скрипт, который пропускает проверку подлинности на пути к файлу в архиве. Исследователи из Snyk приводят в пример код на Java:

			Enumeration entries = zip.getEntries();
   while (entries.hasMoreElements()) {
      ZipEntry e = entries.nextElement();
      File f = new File(destinationDir, e.getName());
      InputStream input = zip.getInputStream(e);
      IOUtils.copy(input, write(f));
   }

Кто в опасности?

Специалисты утверждают, что под угрозу атаки попали многие open source библиотеки с недостатком проверки подлинности пути к файлу. Полный список «жертв» опубликован на GitHub. Кроме того, среди подверженных проблеме проектов есть такие, как: Amazon, Linkedin, Twitter, Oracle и JetBrains.

Большинство уязвимых библиотек написаны для Java, так как для этого языка нет официально рекомендованного инструмента для работы с архивами. Вместо этого разработчики создают множество уязвимых к этой атаке альтернатив. Распространению бреши помогают ответы авторов на StackOverflow, которые делятся фрагментами уязвимого кода с другими программистами.

Подробнее о проблеме и способах нахождения уязвимости в различных проектах исследователи из Snyk написали в техническом документе. Также они опубликовали proof-of-concept архивы на GitHub и выложили демонстрационное видео уязвимости:

Превью видео l1MT5lr4p9o

Эта уязвимость является не первой ошибкой в работе программ, связанных с архивацией файлов. В мае 2018 года в open source архиваторе 7zip была обнаружена уязвимость, позволяющая запустить произвольный код.

Следите за новыми постами
Следите за новыми постами по любимым темам
2К открытий2К показов
Также рекомендуем
Как навести порядок в хаос-проекте
Как навести порядок в хаос-проекте
Разобрали современные методы управления, которые помогут избавиться от хаоса на старте проекта (или если до сих пор до вас никто не наводил в процессах порядок).
Microsoft выпустила Office 2024 — без подписки, за фиксированную сумму
Microsoft выпустила Office 2024 — без подписки, за фиксированную сумму
Microsoft выпустила Office 2024, предлагая пакет приложений без подписки на Microsoft 365 за фиксированную сумму. Новая версия включает обновленные Word, Excel и PowerPoint
🔥 Вышла Theia IDE: среда разработки с открытым исходным кодом и без жесткой привязки к платформе
🔥 Вышла Theia IDE: среда разработки с открытым исходным кодом и без жесткой привязки к платформе
В прошлом месяце вышла из беты Theia IDE — среда разработки, которая может похвастаться открытым исходным кодом и рядом преимуществ на фоне конкурентов
Что уже поздно учить айтишникам в 2024 году
Что уже поздно учить айтишникам в 2024 году
Рассказали, какие технологии в IT успели устареть за последние годы. Присмотритесь к своим навыкам, возможно, и вам пора немного их обновить и выучить что-то современное.