首页 > 清静研究 > 清静转达 > 清静通告

Zip Slip误差清静通告

宣布时间 2018-06-06

误差编号

CVE-2018-8008
CVE-2018-8009
CVE-2018-1261
CVE-2018-1263
CVE-2018-1002200
CVE-2018-1002201
CVE-2018-1002202
CVE-2018-1002203
CVE-2018-1002204
CVE-2018-1002205
CVE-2018-1002206
CVE-2018-1002207

误差级别

严重 CVSS分值：官方未评定

影响规模

Zip Slip误差 “恣意文件笼罩”和“目录遍历”问题的连系，，，，，，，，可能导致攻击者可以将文件解压缩到正常解压缩路径之外并笼罩敏感文件，，，，，，，，如要害OS库或效劳器设置文件。。。。。虽然使用几种编程语言编写的库已知会受到影响，，，，，，，，例如JavaScript，，，，，，，，Python，，，，，，，，Ruby，，，，，，，，.NET，，，，，，，，Go和Groovy，，，，，，，，但这个问题主要影响Java生态系统。。。。。

Zip Slip误差是在编码器、插件和库实现解压归档文件的历程中的一个问题。。。。。许多打包名堂，，，，，，，，包括tar，，，，，，，，jar，，，，，，，，war，，，，，，，，cpio，，，，，，，，apk，，，，，，，，rar和7z都会受到影响，，，，，，，，这意味着这更像是逻辑问题，，，，，，，，而不是特定的编码过失。。。。。

多个大型公司，，，，，，，，包括Google、Oracle、IBM、Apache、亚马逊等在内的数千个项目受影响（见：https://github.com/snyk/zip-slip-vulnerability）。。。。。虽然，，，，，，，，这种类型的误差早已保存，，，，，，，，但最近它已经在更多的项目和库中体现出来。。。。。

受影响的库和项目：

受影响的库：

凯发·k8(中国游)官方网站

受影响的项目：

凯发·k8(中国游)官方网站

误差形貌

Zip Slip是目录遍历的一种形式，，，，，，，，可以通过从打包文件中提取文件来使用。。。。。目录遍历误差的条件是攻击者可以会见文件系统中应该驻留的目的文件夹之外的部分文件系统。。。。。然后，，，，，，，，攻击者可以笼罩可执行文件并远程挪用它们，，，，，，，，或者期待系统或用户挪用它们，，，，，，，，从而实现受害者机械上的远程下令执行。。。。。此误差还可能通过笼罩设置文件或其他敏感资源而造成损害，，，，，，，，并且可能会在客户端（用户）机械和效劳器上受到攻击。。。。。

也就是说，，，，，，，，Zip Slip是“恣意文件笼罩”和“目录遍历”问题的连系，，，，，，，，可能导致攻击者可以将文件解压缩到正常解压缩路径之外并笼罩敏感文件，，，，，，，，如要害OS库或效劳器设置文件。。。。。

误差POC：https://github.com/snyk/zip-slip-vulnerability/tree/master/archives

使用此误差需要的两个部分是不执行验证检查的恶意归档和提取代码。。。。。让我们依次审查这两部分。。。。。首先，，，，，，，，zip文件的内容在提取时需要有一个或多个脱离目的目录的文件。。。。。在下面的例子中，，，，，，，，我们可以看到一个zip文件的内容。。。。。它有两个文件，，，，，，，，一个good.sh文件将被解压缩到目的目录中，，，，，，，，另一个evil.sh文件正在实验遍历目录树以翻开根目录，，，，，，，，然后将文件添加到tmp目录中。。。。。当您实验cd .. 在根目录中时，，，，，，，，仍然会发明自己位于根目录中，，，，，，，，因此恶意路径可能包括多个级别的目录 ../ 在实验遍历敏感文件之前，，，，，，，，有更好的时机抵达根目录。。。。。

凯发·k8(中国游)官方网站

这个zip文件的内容必需手工制作。。。。。只管zip规范允许，，，，，，，，档案建设工具通常不允许用户使用这些路径添加文件。。。。。可是，，，，，，，，使用特定的工具，，，，，，，，使用这些路径建设文件很容易。。。。。

您需要使用此误差的第二件事是使用您自己的代码或库来提取归档文件。。。。。解压缩代码忽略存档中文件路径的验证时保存此误差。。。。。下面是一个易受攻击的代码片断的示例（以Java显示的示例）。。。。。

解决步伐

已修复的库和项目链接见：https://github.com/snyk/zip-slip-vulnerability

参考资料

https://github.com/snyk/zip-slip-vulnerability

http://7xkk1o.com1.z0.glb.clouddn.com/technical-whitepaper.pdf#page=8&zoom=auto,-99,199

https://github.com/snyk/zip-slip-vulnerability/tree/master/archives

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

凯发k8

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯发k8

清静研究

Zip Slip误差清静通告

关于凯发k8

解决计划

清静研究

联系凯发k8

7*24小时效劳热线