|
 Специалистите на компанията Snyk откриха и описаха уязвимостта Zip Slip, която дава възможност за нанасяне на сериозни вреди.Тя засяга предимно библиотеките с отворен код, използвани в работата на различните архиватори. Засегнати са следните формати на архивните файлове: tar, jar, war, cpio, apk, rar и 7z. Експертите са открили уязвимостта още през месец април тази година и досега са работили съвместно с разработчиците на програмните библиотеки по отстраняване на грешката. Според доклада на Snyk, за задействането на уязвимостта е необходимо създаването на специално създаден архив с файлове със специални имена. Имената на тези файлове трябва да съдържат наклонена черта (../../evil.sh). При разкомпресирането, въпросните софтуерни библиотеки поставят файла в папка, съответстваща на пътя, указан в името на този файл. По този начин става възможно презаписването и съответно, повреждането на ключови файлове на операционната система. По този начин е възможно и да се разкомпресира файл, съдържащ вредоносен код. Сред засегнатите продукти, в които се използват уязвимите библиотеки се посочват платформата Google Cloud, продуктите Oracle, Amazon CodePipeline, AWS Toolkit for Eclipse, IBM DataPower, Alibaba JStorm, Twitter Heron, Apache Storm, Apache Hadoop, Apache Ant, Apache Maven, Apache Hive, HP Fortify Cloud Scan Jenkins Plugin, OWASP DependencyCheck. |
|
