Zip 文件覆盖漏洞曝光，Java、.NET、Go 生态集体中枪-低调大师

Zip 文件覆盖漏洞曝光，Java、.NET、Go 生态集体中枪

2018-10-16 561

来自 Snyk 的安全团队今年 4 月份发现了一个广泛存在的文件覆盖漏洞，允许攻击者在系统上编写任意文件，并通过远程命令执行。它会在从档案文件中提取文件时触发目录遍历攻击，并影响包括 tar、jar、war、cpio、apk、rar 和 7z 在内的大量压缩文件。

该漏洞被称为 Zip Slip，已影响来自 Google、HP、Amazon、Apache、Pivotal、Linkedin、Twitter 等企业的数千个项目。同时，安全团队在包括 Java、JavaScript、Ruby、.NET 和 Go 在内的多种生态系统中都发现了该漏洞，Zip Slip 在 Java 中尤为普遍存在，因为没有中央仓库提供高级别归档文件处理，导致存在大量易受攻击的代码和库。

安全团队在发现漏洞后，私下向所有易受攻击的库和项目维护人员透露了 Zip Slip 漏洞的存在。直到 6 月 5 日，他们正式在 GitHub 上公开了该漏洞的具体细节。目前不少软件已通过更新版本或发布补丁修复了该漏洞。

据悉，Zip Slip 是目录遍历的一种形式，可通过从存档中提取文件来利用。目录遍历漏洞的前提是攻击者可以访问文件系统中应该驻留的目标文件夹之外的部分文件系统。然后，攻击者可以覆盖可执行文件并远程调用它们，或者是等待系统或用户调用它们，从而实现在受害者机器上的远程命令执行。该漏洞还可能通过覆盖配置文件或其他敏感资源，从而在客户端（用户）机器和服务器上被利用。

安全团队还在 GitHub 上给出了两个恶意文件示例：

$ 7z l zip-slip.zip

   Date      Time    Attr         Size   Compressed  Name
------------------- ----- ------------ ------------  ------------------------
2018-04-15 22:04:29 .....           19           19  good.txt
2018-04-15 22:04:42 .....           20           20  ../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../tmp/evil.txt
------------------- ----- ------------ ------------  ------------------------
2018-04-15 22:04:42                 39           39  2 files

$ 7z l zip-slip-win.zip

   Date      Time    Attr         Size   Compressed  Name
------------------- ----- ------------ ------------  ------------------------
2018-04-15 22:04:29 .....           19           19  good.txt
2018-04-15 22:04:42 .....           20           20  ..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\Temp\evil.txt
------------------- ----- ------------ ------------  ------------------------
2018-04-15 22:04:42                 39           39  2 files

本文来自云栖社区合作伙伴“开源中国”

本文作者：王练

原文链接

微信关注我们

原文链接：https://yq.aliyun.com/articles/653600

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

提起几大编程语言的创造者，你脑中浮现的是什么？

创造现在主流编程语言的程序员们，都怎么样了？提起灯泡的发明者，你可能想起亨利·戈培尔，提起印刷术，你可能会想到毕昇。这些伟人离我们太远太远，但当提起 C++、python、Java 时，他们的发明者又离我们如此的近，至少他们还在世上，也在工作，但似乎他们的现状都不太好。伟大的C语言缔造者丹尼斯·里奇，这位给乔布斯提供肩膀的巨人，早已经不能再工作了。 2011年，在乔布斯逝世仅7天后，这位C语言之父也走了，但似乎世人只记住了乔布斯，对丹尼斯·里奇并没有太多的印象。乔布斯去世时，网上铺天盖地的各种赞誉和哀悼，记他把用户需求、产品体验做到了极致。其实，丹尼斯·里奇先生更应该得到这些赞誉。 “不务正业的发明者” 吉多·范罗苏姆是一个挺传奇的人物，1989年圣诞节，呆在家里很无聊的他，开发了新的脚本解释语言——Python，之所以取这个名字，是因为他很喜欢看马戏团，于是把这个语言取名为Python（大蟒蛇）。 2005年就职于Google，一半的时间都花在了Python上。让人感到意外的是，2012年，吉多·范罗苏姆加入了Dropbox公司，担任架构师一职。说起Dropbox这家公司...

2018-10-17

656

public function service() { $list['ip'] = $_SERVER["REMOTE_ADDR"]; $list['service'] = $this->get_os(); $list['broswer'] = $this->get_broswer(); $list['where'] = $this->position($list['ip']); dump($list);die; } /** * 获取客户端操作系统信息包括win10 * @param null * @author Jea杨 * @return string */ function get_os(){ $agent = $_SERVER['HTTP_USER_AGENT']; $os = false; if (preg_match('/win/i', $agent) && strpos($agent, '95')) { $os = 'Windows 95'; } else if (preg_match('/win 9x/i', $agent) &&...

2018-10-17

524

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。