Zip 文件覆盖漏洞曝光,Java、.NET、Go 生态集体中枪
来自 Snyk 的安全团队今年 4 月份发现了一个广泛存在的文件覆盖漏洞,允许攻击者在系统上编写任意文件,并通过远程命令执行。它会在从档案文件中提取文件时触发目录遍历攻击,并影响包括 tar、jar、war、cpio、apk、rar 和 7z 在内的大量压缩文件。
该漏洞被称为 Zip Slip,已影响来自 Google、HP、Amazon、Apache、Pivotal、Linkedin、Twitter 等企业的数千个项目。同时,安全团队在包括 Java、JavaScript、Ruby、.NET 和 Go 在内的多种生态系统中都发现了该漏洞,Zip Slip 在 Java 中尤为普遍存在,因为没有中央仓库提供高级别归档文件处理,导致存在大量易受攻击的代码和库。
安全团队在发现漏洞后,私下向所有易受攻击的库和项目维护人员透露了 Zip Slip 漏洞的存在。直到 6 月 5 日,他们正式在 GitHub 上公开了该漏洞的具体细节。目前不少软件已通过更新版本或发布补丁修复了该漏洞。
据悉,Zip Slip 是目录遍历的一种形式,可通过从存档中提取文件来利用。目录遍历漏洞的前提是攻击者可以访问文件系统中应该驻留的目标文件夹之外的部分文件系统。然后,攻击者可以覆盖可执行文件并远程调用它们,或者是等待系统或用户调用它们,从而实现在受害者机器上的远程命令执行。该漏洞还可能通过覆盖配置文件或其他敏感资源,从而在客户端(用户)机器和服务器上被利用。
安全团队还在 GitHub 上给出了两个恶意文件示例:
$ 7z l zip-slip.zip Date Time Attr Size Compressed Name ------------------- ----- ------------ ------------ ------------------------ 2018-04-15 22:04:29 ..... 19 19 good.txt 2018-04-15 22:04:42 ..... 20 20 ../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../tmp/evil.txt ------------------- ----- ------------ ------------ ------------------------ 2018-04-15 22:04:42 39 39 2 files
$ 7z l zip-slip-win.zip Date Time Attr Size Compressed Name ------------------- ----- ------------ ------------ ------------------------ 2018-04-15 22:04:29 ..... 19 19 good.txt 2018-04-15 22:04:42 ..... 20 20 ..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\Temp\evil.txt ------------------- ----- ------------ ------------ ------------------------ 2018-04-15 22:04:42 39 39 2 files
本文来自云栖社区合作伙伴“开源中国”
本文作者:王练
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
提起几大编程语言的创造者,你脑中浮现的是什么?
创造现在主流编程语言的程序员们,都怎么样了? 提起灯泡的发明者,你可能想起亨利·戈培尔,提起印刷术,你可能会想到毕昇。 这些伟人离我们太远太远,但当提起 C++、python、Java 时,他们的发明者又离我们如此的近,至少他们还在世上,也在工作,但似乎他们的现状都不太好。 伟大的C语言缔造者 丹尼斯·里奇 ,这位给乔布斯提供肩膀的巨人,早已经不能再工作了。 2011年,在乔布斯逝世仅7天后,这位C语言之父也走了,但似乎世人只记住了乔布斯,对丹尼斯·里奇并没有太多的印象。 乔布斯去世时,网上铺天盖地的各种赞誉和哀悼,记他把用户需求、产品体验做到了极致。其实,丹尼斯·里奇先生更应该得到这些赞誉。 “不务正业的发明者” 吉多·范罗苏姆是一个挺传奇的人物,1989年圣诞节,呆在家里很无聊的他,开发了新的脚本解释语言——Python,之所以取这个名字,是因为他很喜欢看马戏团,于是把这个语言取名为Python(大蟒蛇)。 2005年就职于Google,一半的时间都花在了Python上。让人感到意外的是,2012年,吉多·范罗苏姆加入了Dropbox公司,担任架构师一职。说起Dropbox这家公司...
- 下一篇
PHP获取用户ip、地理位置、浏览器和系统信息
public function service() { $list['ip'] = $_SERVER["REMOTE_ADDR"]; $list['service'] = $this->get_os(); $list['broswer'] = $this->get_broswer(); $list['where'] = $this->position($list['ip']); dump($list);die; } /** * 获取客户端操作系统信息包括win10 * @param null * @author Jea杨 * @return string */ function get_os(){ $agent = $_SERVER['HTTP_USER_AGENT']; $os = false; if (preg_match('/win/i', $agent) && strpos($agent, '95')) { $os = 'Windows 95'; } else if (preg_match('/win 9x/i', $agent) &&...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- 设置Eclipse缩进为4个空格,增强代码规范
- Mario游戏-低调大师作品
- MySQL8.0.19开启GTID主从同步CentOS8
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS8编译安装MySQL8.0.19
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS关闭SELinux安全模块