Написать пост

Обнаружена уязвимость Zip Slip, позволяющая переписывать системные файлы

Аватар Тимур Кондратьев
Тимур Кондратьев

Под угрозой многие открытые библиотеки, работающие с архивацией файлов. Zip Slip затронула такие форматы архивов, как tar, jar, war, cpio, apk, rar и 7z.

Исследователи из Snyk опубликовали доклад, описывающий уязвимость под названием Zip Slip. Ей подвержены библиотеки с открытым исходным кодом, организующие работу с архивацией файлов. Затронуты такие форматы архивов, как tar, jar, war, cpio, apk, rar и 7z.

Команда специалистов обнаружила ошибку в апреле 2018 года, а затем проводила расследование совместно с разработчиками уязвимых open source библиотек.

Как работает Zip Slip?

Согласно докладу Snyk, для работы уязвимости необходим специально созданный архив с особенными файлами внутри. Они должны содержать название с «подменой директории», например, ../../evil.sh. Такие файлы пробираются вверх по дереву каталогов, пока не достигнут корня. С помощью них злоумышленник может переписать или повредить ключевые файлы ОС путем удаленного запуска кода или встраивания вредоносного ПО.

Кроме специально созданного файла, для работы уязвимости необходим скрипт, который пропускает проверку подлинности на пути к файлу в архиве. Исследователи из Snyk приводят в пример код на Java:

			Enumeration entries = zip.getEntries();
   while (entries.hasMoreElements()) {
      ZipEntry e = entries.nextElement();
      File f = new File(destinationDir, e.getName());
      InputStream input = zip.getInputStream(e);
      IOUtils.copy(input, write(f));
   }

Кто в опасности?

Специалисты утверждают, что под угрозу атаки попали многие open source библиотеки с недостатком проверки подлинности пути к файлу. Полный список «жертв» опубликован на GitHub. Кроме того, среди подверженных проблеме проектов есть такие, как: Amazon, Linkedin, Twitter, Oracle и JetBrains.

Большинство уязвимых библиотек написаны для Java, так как для этого языка нет официально рекомендованного инструмента для работы с архивами. Вместо этого разработчики создают множество уязвимых к этой атаке альтернатив. Распространению бреши помогают ответы авторов на StackOverflow, которые делятся фрагментами уязвимого кода с другими программистами.

Подробнее о проблеме и способах нахождения уязвимости в различных проектах исследователи из Snyk написали в техническом документе. Также они опубликовали proof-of-concept архивы на GitHub и выложили демонстрационное видео уязвимости:

Превью видео l1MT5lr4p9o

Эта уязвимость является не первой ошибкой в работе программ, связанных с архивацией файлов. В мае 2018 года в open source архиваторе 7zip была обнаружена уязвимость, позволяющая запустить произвольный код.

Следите за новыми постами
Следите за новыми постами по любимым темам
2К открытий2К показов
Также рекомендуем
Обложка поста Легендарный DOOM запустили на терминале. Но для его работы нужна банковская карта
Легендарный DOOM запустили на терминале. Но для его работы нужна банковская карта
Энтузиаст портировал легендарную DOOM 1993 года на банковский терминал. Причем неотъемлимая часть геймплея завязана на использовании карты
Обложка поста В помощь программисту: 7 нейросетей, которые умеют писать код
В помощь программисту: 7 нейросетей, которые умеют писать код
Человека они не заменят, но составить документацию, отрефакторить код и проверить синтаксис — вполне могут.
Обложка поста Мэрия Москвы открыла доступ к Mos.Hub — аналогу GitHub и GitLab
Мэрия Москвы открыла доступ к Mos.Hub — аналогу GitHub и GitLab
МосХаб — это IT-библиотека open-source решений, аналогичная GitHub и GitLab, разработка которого велась 10 лет.
Обложка поста 10 бесплатных нейросетей для работы с текстом и медиа
10 бесплатных нейросетей для работы с текстом и медиа
Составили подборку из 10 бесплатных нейросетей, которые генерируют текст, изображения и видео, и рассказали о каждой из них.