来自英国网络安全公司Synk的研究人员于本周二(6月5日)公开披露了一个关键漏洞的详细信息,该漏洞影响了包括Java在内的多种生态系统中的数千个开发项目,允许攻击者在目标系统上实现远程任意代码执行。
被称为“Zip Slip”的漏洞被描述为一个广泛存在的关键存档提取漏洞,是“任意文件覆盖”和“目录遍历”漏洞的结合,并影响了包括甲骨文、亚马逊、Spring /Pivotal、领英、Twitter、阿里巴巴、Jenkinsci、Eclipse、OWASP、SonarCube、OpenTable、Arduino、ElasticSearch、Selenium、Gradle、JetBrains和谷歌在内众多大型公司的数千个开发项目。
研究人员表示,这个漏洞存在于多个生态系统中,包括Javascript、Ruby、Java、.net和Go,但在Java中尤其普遍,因为Java中没有提供高级存档(例如zip)文件处理的官方库。由于缺少这样的库,易受攻击的代码片段被手工编写并在诸如StackOverflow这样的开发社区中共享。
ZipSlip漏洞能够通过使用保存目录遍历文件名(例如.. ../../ evi.sh)的特制存档文件触发,一旦易受攻击的代码或库提取了存档文件的内容,就会允许攻击者能够将恶意文件从正常解压缩路径之外解压。Zip Slip漏洞会影响多种压缩格式,如tar、jar、war、cpio、apk、rar和7z。
通过利用这个漏洞,攻击者甚至可以使用恶意文件来覆盖应用程序的合法可执行文件或配置文件(如关键OS库或服务器配置文件),诱使目标系统或用户运行它,从而在受害者的主机上实现远程任意代码执行。
除了公开披露漏洞细节之外,该公司还发布了概念验证(Proof of concept,POC)和演示视频,用于展示攻击者如何利用Zip Slip漏洞。
自4月15日以来,该公司就已经开始私下向所有易受攻击的库和项目的维护人员披露Zip Slip漏洞。所有易受攻击的库和项目的列表也已经发布在了GitHub存储库上,其中一些已经通过发布更新版本解决了问题。
网友评论