Zip Slip漏洞安全通告

发布时间 2018-06-06

漏洞编号


CVE-2018-8008
CVE-2018-8009
CVE-2018-1261
CVE-2018-1263
CVE-2018-1002200
CVE-2018-1002201
CVE-2018-1002202
CVE-2018-1002203
CVE-2018-1002204
CVE-2018-1002205
CVE-2018-1002206
CVE-2018-1002207


漏洞级别


严重  CVSS分值:官方未评定


影响范围


Zip Slip漏洞 “任意文件覆盖”和“目录遍历”问题的结合,可能导致攻击者可以将文件解压缩到正常解压缩路径之外并覆盖敏感文件,如关键OS库或服务器配置文件。虽然使用几种编程语言编写的库已知会受到影响,例如JavaScript,Python,Ruby,.NET,Go和Groovy,但这个问题主要影响Java生态系统。


Zip Slip漏洞是在编码器、插件和库实现解压归档文件的过程中的一个问题。 许多打包格式,包括tar,jar,war,cpio,apk,rar和7z都会受到影响,这意味着这更像是逻辑问题,而不是特定的编码错误。


多个大型企业,包括谷歌、Oracle、IBM、Apache、AMAZON等在内的数千个项目受影响(见:https://github.com/snyk/zip-slip-vulnerability)。当然,这种类型的漏洞早已存在,但最近它已经在更多的项目和库中表现出来。

 

受影响的库和项目:


受影响的库:

 

 

受影响的项目:

 

 

漏洞描述


Zip Slip是目录遍历的一种形式,可以通过从打包文件中提取文件来利用。 目录遍历漏洞的前提是攻击者可以访问文件系统中应该驻留的目标文件夹之外的部分文件系统。 然后,攻击者可以覆盖可实行文件并远程调用它们,或者等待系统或用户调用它们,从而实现受害者机器上的远程命令实行。此漏洞还可能通过覆盖配置文件或其他敏感资源而造成损害,并且可能会在客户端(用户)机器和服务器上受到攻击。


也就是说,Zip Slip是“任意文件覆盖”和“目录遍历”问题的结合,可能导致攻击者可以将文件解压缩到正常解压缩路径之外并覆盖敏感文件,如关键OS库或服务器配置文件。


漏洞POC:https://github.com/snyk/zip-slip-vulnerability/tree/master/archives


利用此漏洞需要的两个部分是不实行验证检查的恶意归档和提取代码。让大家依次查看这两部分。首先,zip文件的内容在提取时需要有一个或多个脱离目标目录的文件。在下面的例子中,大家可以看到一个zip文件的内容。它有两个文件,一个good.sh文件将被解压缩到目标目录中,另一个evil.sh文件正在尝试遍历目录树以打开根目录,然后将文件添加到tmp目录中。当您尝试cd .. 在根目录中时,仍然会发现自己位于根目录中,因此恶意路径可能包含多个级别的目录 ../ 在尝试遍历敏感文件之前,有更好的机会到达根目录。

 

 

这个zip文件的内容必须手工制作。尽管zip规范允许,档案创建工具通常不允许用户使用这些路径添加文件。但是,使用特定的工具,使用这些路径创建文件很容易。


您需要利用此漏洞的第二件事是使用您自己的代码或库来提取归档文件。解压缩代码忽略存档中文件路径的验证时存在此漏洞。下面是一个易受攻击的代码片段的示例(以Java显示的示例)。

 

 

解决措施


已修复的库和项目链接见:https://github.com/snyk/zip-slip-vulnerability


参考资料


https://github.com/snyk/zip-slip-vulnerability


http://7xkk1o.com1.z0.glb.clouddn.com/technical-whitepaper.pdf#page=8&zoom=auto,-99,199


https://github.com/snyk/zip-slip-vulnerability/tree/master/archives