手工歸檔文件處理軟件庫中的故障將缺陷傳播給數千個開源項目。
安全公司Snyk披露了來自惠普,亞馬遜,Apache,甲骨文,LinkedIn,Twitter等數以千計的開源Web應用項目中存在的多個存檔文件提取庫中存在的廣泛而嚴重的缺陷。
正如Snyk 解釋的那樣,一些生態系統(如Java)不提供用於完全解壓縮歸檔文件的中央軟件庫,因此領先的開發人員可以編寫自己的代碼片段來啟用該功能。
在這種情況下,這些代碼片段包含一個名為Zip Slip的漏洞,它將應用程序暴露給目錄遍歷攻擊。這個漏洞將允許攻擊者到達根目錄,並從那裡啟用遠程命令執行。
易受攻擊的代碼已在多個歸檔提取庫中找到,可用於眾多生態系統,包括.NET,Java,JavaScript,Go和Ruby。
Zip Slip bug在這麼多軟件項目中傳播的原因是它包含在開發人員社區站點(如StackOverflow)共享的代碼片段中,允許將相同的缺陷或變體放入其他項目中,根據Snyk 。
除.zip外,它還可能影響其他存檔格式,如.tar,.jar,.war,.cpio,.apk,.rar和7z。
要利用Zip Slip,攻擊者需要使用包含額外目錄路徑的特製存檔文件,這些目錄路徑在提取文件時會遍歷到根目錄。
“目錄遍歷漏洞的前提是攻擊者可以訪問文件系統中應該駐留的目標文件夾以外的部分文件系統,”Snyck 在一篇技術文章中解釋說。
“攻擊者可以覆蓋可執行文件並遠程調用它們,或者等待系統或用戶調用它們,從而在受害者的機器上執行遠程命令執行。”
Snyk發現了15個檔案提取軟件庫中的漏洞,它們不驗證檔案文件中的文件路徑。
Snyk在4月份開始提醒開發者後,受影響的圖書館開發人員已經解決了這個問題。
但是,使用任何這些易受攻擊的庫的應用程序開發人員都需要更新為固定版本。
Snyck已經在GitHub上發佈了用於Java,.NET,Oracle,Apache,Ruby和Go軟件的受影響歸檔處理庫的列表。
閱讀更多 衣品風間 的文章
