Вразливість Zip Slip допускає запуск довільного коду вразливих системах. Баг зачіпає формати архівів tar, jar, war, cpio, apk, rar та 7z
Уразливість Zip Slip допускає запуск довільного коду на вразливих системах. Баг зачіпає формати архівів tar, jar, war, cpio, apk, rar та 7z
У програмних бібліотеках, за допомогою яких проводиться деархівація, виявлено критичну вразливість, яка зачіпає ряд популярних форматів.
Уразливість, що отримала назву Zip Slip, допускає запуск довільного коду на вразливих системах. Експерти з інформаційної безпеки, що її виявили, вказують, що при успішній експлуатації зловмисник може здійснити розархівування довільного файлу в обхід заданого в системі шляху, і таким чином зробити перезапис критично важливих файлів. Це можуть бути критичні бібліотеки операційної системи або файли налаштувань сервера.
Для експлуатації вразливості потрібно створити архів, в якому будуть утримуватися «невірні» шляхи, - фактично, посилання на директорії, в які розархівуватиметься той чи інший файл.
«Баг» зачіпає формати архівів tar, jar, war, cpio, apk, rar та 7z.