Ερευνητές αποκάλυψαν μια κρίσιμη ευπάθεια που επηρεάζει πολλές open source libraries που χειρίζονται συμπιεσμένα αρχεία (zip files. Η ευπάθεια Zip Slip -όπως ονομάστηκε- αφορά τον τρόπο με τον οποίο αποσυμπιέζονται αρχεία από τον κώδικα, το plugin ή την βιβλιοθήκη και επηρεάζονται πολλαπλά format συμπιεσμένων αρχείων, περιλαμβανομένων των tar, jar, war, cpio, apk, rar, και 7z.
Το Zip Slip είναι συνδυασμός "arbitrary file overwrite" και "directory traversal" και μπορεί να επιτρέψει την αποσυμπίεση αρχείων εκτός του οριζόμενου path και την αντικατάσταση αρχείων συστήματος ή κρίσιμων βιβλιοθηκών.
Η ευπάθεια εντοιπίστηκε τον Απρίλιο και η ομάδα των ερευνητών συνεργάστηκε με τις ευπαθείς βιβλιοθήκες για την επιδιόρθωση της."The two parts required to exploit this vulnerability is a malicious archive and extraction code that does not perform validation checking," the Synk team said today in a security advisory.
Ευπαθείς είναι μεταξύ άλλων οι JavaScript, Python, Ruby, .NET, Go, και Groovy, αλλά το σοβαρότερο πρόβλημα το αντιμετωπίζει η Java που δεν έχει ένα κεντρικό σύστημα διαχείρισης συμπιεσμένων αρχείων.
Αναλυτική λίστα στο GitHub
Πηγή : Bleeping Computer
Εμφάνιση 1-3 από 3
-
06-06-18, 10:35 Η ευπάθεια Zip Slip επηρεάζει χιλιάδες projects και δημοφιλείς βιβλιοθήκες #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.761
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
07-06-18, 00:06 Απάντηση: Η ευπάθεια Zip Slip επηρεάζει χιλιάδες projects και δημοφιλείς βιβλιοθήκες #2
Αυτή η Java γεμάτη τρύπες
-
07-06-18, 04:14 Απάντηση: Η ευπάθεια Zip Slip επηρεάζει χιλιάδες projects και δημοφιλείς βιβλιοθήκες #3
Παρόμοια Θέματα
-
Χιλιάδες passwords και στοιχεία λογαριασμών, διαρρέουν από ανασφάλιστους servers, parental control εφαρμογής για κινητά
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 30Τελευταίο Μήνυμα: 26-05-18, 12:51 -
Η Google βρήκε διόρθωση για τα Meltdown και Spectre που δεν επηρεάζει τις επιδόσεις
Από sdikr στο φόρουμ ΕιδήσειςΜηνύματα: 74Τελευταίο Μήνυμα: 28-01-18, 04:36 -
Η παραβίαση της Yahoo επηρεάζει 3 δισ. χρήστες, αντί το 1 δισ. που είχε εκτιμηθεί το 2016
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 8Τελευταίο Μήνυμα: 06-10-17, 10:38 -
Νέα ευπάθεια του Bluetooth επηρεάζει Android, Linux, Windows και iOS
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 17Τελευταίο Μήνυμα: 14-09-17, 18:01 -
Η IBM με την συνεργασία των Globalfoundries και Samsung βρίσκει λειτουργικό τρόπο παραγωγής chip στα 5nm
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 10Τελευταίο Μήνυμα: 08-06-17, 21:09
Bookmarks