+38/044/257-2444
+38/067/502-3306
+38/050/370-3627
Новости

Уязвимость Zip Slip допускает запуск произвольного кода на уязвимых системах. Баг затрагивает форматы архивов tar, jar, war, cpio, apk, rar и 7z

Уязвимость Zip Slip допускает запуск произвольного кода на уязвимых системах. Баг затрагивает форматы архивов tar, jar, war, cpio, apk, rar и 7z

В программных библиотеках, с помощью которых производится деархивация, выявлена критическая уязвимость, которая затрагивает ряд популярных форматов.

Уязвимость, получившая название Zip Slip, допускает запуск произвольного кода на уязвимых системах. Обнаружившие ее эксперты по информационной безопасности указывают, что при успешной эксплуатации злоумышленник может осуществить разархивирование произвольного файла в обход заданного в системе пути, и таким образом произвести перезапись критически важных файлов. Это могут быть критические библиотеки операционной системы или файлы настроек сервера.

Для эксплуатации уязвимости потребуется создать архив, в котором будут содержаться «неверные» пути, - фактически, ссылки на директории, в которые будет разархивироваться тот или иной файл.

Эксплуатация Zip Slip комбинирует сразу два типа кибератак - произвольная перезапись файлов (Arbitrary File Overwrite) плюс относительно типичный обход каталога (Directory Traversal).

«Баг» затрагивает форматы архивов tar, jar, war, cpio, apk, rar и 7z.

Возможность эксплуатации данной уязвимости появляется из-за отсутствия в программных библиотеках процедуры проверки пути, по которому производится разархивирование файла

 

Другие новости

Лучшая цена