Уязвимость Zip Slip, затрагивающая библиотеки для распаковки архивов

05.06.2018 22:26

Раскрыты сведения об уязвимости Zip Slip, которая позволяет переписать или сохранить файлы за пределами базового каталога при распаковке архивов с использованием функций распаковки, предоставляемых различными библиотеками на Java, JavaScript, .NET и Go. В анонсе достаточно много PR и заметно преувеличена степень новизны проблемы и степени её опасности, в то время как уязвимость по сути повторяет проблемы, устранённые 10-20 лет назад в штатных утилитах распаковки архивов, перенося их на современные фреймворки.

Суть уязвимости в том, что можно подготовить модифицированный архив (tar, jar, war, cpio, apk, rar или 7z), в котором подставить в путь сохранённого в архиве файла символы "../../". При распаковке данного файла с использованием уязвимых библиотек из-за отсутствия проверки относительного пути файл будет сохранён в каталог вне базового каталога распаковки архива. В большинстве случаев уязвимость в библиотеках сводится к тому, что они допускают вывод путей с "../../" при выполнении перебора содержимого модифицированного архива. Сама уязвимость касается больше конечных приложений, в которых подобные пути не проверяются перед записью файлов.

Таким образом при открытии модифицированного архива в подобных приложениях можно переписать любой файл текущего пользователя в системе, насколько это позволяют права доступа. Для совершения атаки злоумышленник должен знать текущий каталог, относительно которого выполняется распаковка. Теоретически проблема представляет опасность для различных типовых web-сервисов и продуктов, которые принимают в качестве входных данных архивы и автоматически распаковывают их.

Среди библиотек и приложений, в которых подтверждена проблема, упоминаются Java-компоненты zip4j, zt-zip и Plexus-archiver (исправлено в 3.6.0), JavaScript-модули Unzipper (0.8.13) и Adm-zip (0.4.9), .NET-библиотеки DotNetZip.Semverd (библиотека распаковки из .NET Core не подвержена проблеме), SharpZipLib и SharpCompress (0.21.0), mholt/archiver на языке Go (патч). Уязвимых библиотек на Python и Ruby не обнаружено так как в библиотеках Python аналогичные проблемы были устранены в 2014 году, а в библиотеках Ruby archive-tar-minitar, minitar и rubyzip в 2016 году. В Oracle java.util.zip и Apache commons-compress в реализации API уязвимостей нет, но были некорректные примеры в документации.

Среди продуктов, в которых использовались уязвимые библиотеки, отмечаются пакетный менеджер npm, платформа Google Cloud, продукты Oracle, Amazon CodePipeline, AWS Toolkit for Eclipse, IBM DataPower, Alibaba JStorm, Twitter Heron, Apache Storm, Apache Hadoop, Apache Ant, Apache Maven, Apache Hive, HP Fortify Cloud Scan Jenkins Plugin, OWASP DependencyCheck. Примечательно, что в 2015 году аналогичная проблема при обработке zip-файлов в SwiftKey применялась для получения root-доступа к смартфонам Samsung Galaxy S4, S4 Mini, S5 и S6.

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/48723-zip

Ключевые слова: zip, archive

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (33)

1.1, Аноним (-), 23:16, 05/06/2018 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
>SharpZipLib >SharpCompress Как у меня подгорает ... Ведь я глубоко копался в их исходниках (правда фиксил баги, меня затрагивающие), а уязвимость проморгал.

2.2, Аноним (-), 23:22, 05/06/2018 [^] [^^] [^^^] [ответить]	+/–
Чего подгорает-то? Пофиксят ж всё равно.

2.9, А (??), 07:00, 06/06/2018 [^] [^^] [^^^] [ответить]	–12 +/–
Так ты и русский язык не изучил, хотя пользуешься. "Подгорание" посмотри в словаре, фиксик!

3.23, Аноним (-), 11:11, 06/06/2018 [^] [^^] [^^^] [ответить]	+/–
"фиксик" посмотри в словаре, зануда!

1.3, Аноним (3), 23:38, 05/06/2018 [ответить] [﹢﹢﹢] [ · · · ]	–8 +/–
Еще одно подтверждение, что платфорорм одной корпорации (C#,Java,go) стоит избегать.

2.4, Annoynymous (ok), 23:55, 05/06/2018 [^] [^^] [^^^] [ответить]	+5 +/–
Ну да, отсутствие проверки путей, оно в платформе заложено, архитекторами.

2.5, Аноним (-), 00:14, 06/06/2018 [^] [^^] [^^^] [ответить]

+1 +/–

> Еще одно подтверждение, что платфорорм одной корпорации (C#,Java,go) стоит избегать.

Вообще не то.

Вчитайся:

> В анонсе достаточно много PR и заметно преувеличена степень новизны проблемы и степени её опасности, в то время как уязвимость по сути повторяет проблемы, устранённые 10-20 лет назад в штатных утилитах распаковки архивов, перенося их на современные фреймворки.

Очевидно речь о том что надо стремиться развивать уже существующие проекты, а не заниматься тупым разбазариванием человеко-часов в виде переписывания существующих решении и наивной беготни за "модно" и "молодежно". "Модно и молодежно" в программировании почти стал синонимом "поверхностно и снаскоку". Хорошие и надежные системы так не строятся.

Вы конечно можете можете мне возразить на этот тезис, но мне плевать на вас. Мне бы очень хотелось чтобы люди обдумывающие читаемые тезисы всё-таки призадумались над тем что может все-таки стоит осилить более комплексные задачи, а не тратить серое вещество на изучение очередного ненужного ЯП или очередного API, только потому что какой-то там Apple или Google его анонсировали. Надо научитсья ломать хребет сильными мирам сего с их хомячками-рабами, тем более что IT-стезя это все-таки наше! Ведь мы уже почти просрaли Интернет..

3.6, AnonPlus (?), 01:13, 06/06/2018 [^] [^^] [^^^] [ответить]	+4 +/–
Вы, конечно, можете плевать на нас, но нам плевать на то, что вам плевать на нас.

3.28, Плюсую (?), 11:34, 06/06/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Плюсую. Совсем не понятно, почему заново изобретают велосипед, вместо того, чтобы ездить на готовом и удобном. Опять и опять наступают на одни и те же грабли.

2.13, Илья (??), 08:33, 06/06/2018 [^] [^^] [^^^] [ответить]	+1 +/–
это ж вроде продукты трех разных корпораций

3.19, Клыкастый (ok), 11:06, 06/06/2018 [^] [^^] [^^^] [ответить]	+2 +/–
Это снаружи. Но автор знает сильно больше, чем простые смертные...

2.15, qrKot (?), 09:30, 06/06/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Интересно, что же это за мегакорпорация, которая объединяет платформы Microsoft C#, Oracle Java и Google Go...

3.20, Клыкастый (ok), 11:07, 06/06/2018 [^] [^^] [^^^] [ответить]	+3 +/–
> Интересно, что же это за мегакорпорация, которая объединяет платформы Microsoft C#, Oracle > Java и Google Go... ЗАО "Корпорация З.Л.А."

3.26, Фуррь (ok), 11:17, 06/06/2018 [^] [^^] [^^^] [ответить]	+3 +/–
>Интересно, что же это за мегакорпорация, которая объединяет платформы Microsoft C#, Oracle Java и Google Go... Reptiloids Global Inc.

3.33, ОнАнон (?), 14:56, 06/06/2018 [^] [^^] [^^^] [ответить]	+/–
А если взять инициалы компаний, неплохо собирается OMG.

4.44, anonymous (??), 06:43, 08/06/2018 [^] [^^] [^^^] [ответить]	+/–
+100500

4.48, Аноним (-), 12:13, 11/06/2018 [^] [^^] [^^^] [ответить]	+/–
Вы не поверите: https://www.omg.org/

1.7, A.Stahl (ok), 01:24, 06/06/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>при распаковке архивов с использованием функций распаковки, предоставляемых различными библиотеками на Java, JavaScript, .NET и Go Ок

2.37, Аноним (-), 20:19, 06/06/2018 [^] [^^] [^^^] [ответить]	+/–
То есть консольные распаковщики , написанные на человеческих языках людьми для людей, не подвержены. Ну ок.

1.8, Anonymoustus (ok), 05:37, 06/06/2018 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Каждое поколение хомячья вновь и вновь повторяет одни и те же ошибки, потому что отвергает уже сделанное предыдущими поколениями. Видимо, это неизлечимо без смены воспитательной и образовательной парадигмы.

2.14, КО (?), 08:41, 06/06/2018 [^] [^^] [^^^] [ответить]	+2 +/–
>Каждое поколение хомячья вновь и вновь повторяет одни и те же ошибки В реальности никакой ошибки в программах нет. Они делают заявленный функционал. Если пользователю Иванов разрешено писать в каталог /home/petrov, то он должен туда иметь право писать хоть так, хоть /home/ivanov/../petrov. Если у него таких прав нет, то и не будет. Другое дело, что если приложение работает с внешними данными, то и должно делать изоляцию всех операций ввода-вывода (ака "песочница") по реальному пути. Раньше к этому относились проще. :)

3.22, Anonymoustus (ok), 11:08, 06/06/2018 [^] [^^] [^^^] [ответить]

+/–

Прекрасная философия первозданного юникса была разработана не для дeбилoв, а для людей, чётко и ясно осознающих каждое своё действие и его последствия.

> Если пользователю Иванов разрешено писать в каталог /home/petrov, то он должен туда иметь право писать хоть так, хоть /home/ivanov/../petrov. Если у него таких прав нет, то и не будет.

Эм… Кто по умолчанию хозяин^W владелец каталогов в /home?

А вот про модно-молодёжный «функционал» — верю!

https://toster.ru/q/14928

3.27, Аноним (-), 11:28, 06/06/2018 [^] [^^] [^^^] [ответить]	+/–
> туда это уже не "туда"

2.17, Аноним (-), 10:22, 06/06/2018 [^] [^^] [^^^] [ответить]	+3 +/–
> Каждое поколение хомячья вновь и вновь повторяет одни и те же ошибки, потому что отвергает уже сделанное предыдущими поколениями. Видимо, это неизлечимо без смены воспитательной и образовательной парадигмы. "Эта молодёжь растленна до глубины души. Молодые люди злокозненны и нерадивы. Никогда они не будут походить на молодёжь былых времен. Младое поколение сегодняшнего дня не сумеет сохранить нашу культуру."

3.24, Anonymoustus (ok), 11:13, 06/06/2018 [^] [^^] [^^^] [ответить]	+/–
Намёк понятен, но всё несколько проще. Есть базовые вещи — вроде букв алфавита. Их надо знать до того, как начинаешь писать по слогам и составлять слова в предложения. Поколение Z буковок не знает, не умеет, потому что «устарело». Изложение причин этой фатальной проблемы выходит за уровень интеллектуальных способностей анонимов этого форума, поэтому я не считаю целесообразным перевод разговора в такое русло.

4.49, trolleybus (?), 14:33, 13/06/2018 [^] [^^] [^^^] [ответить]	+/–
> Поколение Z буковок не знает, не умеет, потому что «устарело». Поколение Z еще знает, а вот следующее точно не будет - все буковки закончились до них

5.50, Anonymoustus (ok), 14:53, 13/06/2018 [^] [^^] [^^^] [ответить]	+/–
>> Поколение Z буковок не знает, не умеет, потому что «устарело». > Поколение Z еще знает, а вот следующее точно не будет - все > буковки закончились до них Да я тогда уж совсем старенький буду — так что пох.

1.29, Kekistani (?), 11:44, 06/06/2018 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
А вот про Rust ни слова. Это только говорит что за ним светлое будущее ибо там токого не может быть по определению.

2.31, Аноним (-), 14:05, 06/06/2018 [^] [^^] [^^^] [ответить]	+1 +/–
> А вот про Rust ни слова. Это только говорит что за ним светлое будущее ибо там токого не может быть по определению. Верно. borrow checker увидет, что у "../../" не проставлен lifetime и программа не соберётся.

1.42, Аноним (-), 20:45, 06/06/2018 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> В анонсе достаточно много PR Достаточно много связей с общественностью? Что за дичь? Редактор, не употребляй слова, значения которых не знаешь

2.45, Аноним (-), 08:36, 08/06/2018 [^] [^^] [^^^] [ответить]

+1 +/–

>> В анонсе достаточно много PR
> Достаточно много связей с общественностью? Что за дичь? Редактор, не употребляй слова,
> значения которых не знаешь

Вы бы хоть сами в словарь заглянули и почитали в каких ситуациях употребляется слово "пиар".

https://dic.academic.ru/dic.nsf/es/85473/%D0%9F%D0%98%;D0%90%D0%A0

"PR — Практика создания и внедрения в сознание людей привлекательного образа кого-, чего-л.... Деятельность, направленная на формирование общественного мнения, имиджа предпринимателя или его фирмы, продвижение бизнес-продукта предпринимателя, «раскрутка» бренда."

1.46, Аноним (46), 10:26, 10/06/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Как-то дико такое читать. С первых же строк по распаковку вне текущего каталога в голове всплыло ../../. А ведь я даже не погромист и не одмин и вообще не айтишник. Они там вообще свои велосипеты хоть как-то тестируют?

1.47, Старый одмин (?), 01:11, 11/06/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Это все потому что нужно иметь только одну рассово верную библиотеку для всех фреймворков (на C). А то понаехали тут...

игнорирование участников | лог модерирования

Добавить комментарий

Текст: