【セキュリティ ニュース】アーカイブ展開に脆弱性「Zip Slip」 – 多数ソフトウェアに影響(1ページ目 / 全2…


細工されたアーカイブファイルを処理させることで、特定の場所にファイルを展開させることが可能となる脆弱性「Zip Slip」が判明した。影響を受けるソフトウェアは多く、悪用されるとリモートよりコードを実行されるおそれがあるという。

20180606_sn_001.jpg
「Zip Slip」のロゴ

同脆弱性は、英Snykが公表したもの。多数のライブラリやプロジェクトが影響を受けるとしており、同社では「Zip Slip」と名付けた。

サーバ環境、クライアント環境のいずれも影響を受けるとしており、アプリケーション開発フレームワークなどで開発し、ファイルをアップロードできる環境など攻撃の対象となるおそれがある。

ファイル名の処理に起因しており、脆弱性が存在するソフトウェアやライブラリを利用する環境で細工されたファイルがシステム上へ配置され、攻撃者やシステムによって処理されると、ディレクトリトラバーサルが発生。ファイルが保存、上書きされ、結果として悪意あるコードを実行されるおそれもある。

同社は、「JavaScript」「Ruby」「.NET」「Go」などで開発された環境が影響受けると説明しており、特に中心的なライブラリを持たない「Java」に注意が必要であると指摘した。

(Security NEXT – 2018/06/06 )

このエントリーをはてなブックマークに追加

PR

関連記事

H2Oにログ処理にバッファオーバーフローの脆弱性
9件の脆弱性に対処した「Joomla 3.8.8」がリリース – バグ50件も修正
横河電機のPLC計装システム「STARDOMコントローラ」に脆弱性
Apple、Mac向けにセキュリティアップデート – 「Safari」も更新
「iOS 11.4」では「EFAIL」含む脆弱性35件に対処
Linux版「VMware Horizon Client」に脆弱性 – 特権昇格のおそれ
フォトブログ「Pixelpost」に複数脆弱性 – すでに開発は終了、利用中止を
Apple、最新OS「iOS 11.4」をリリース – 修正内容は近く公開予定
「Chrome 67.0.3396.62」がリリース – セキュリティ上の問題34件に対処
WordPress用レビュープラグインにXSSの脆弱性

Zoomd News

admin

leave a comment

Create Account



Log In Your Account