99精品伊人亚洲|最近国产中文炮友|九草在线视频支援|AV网站大全最新|美女黄片免费观看|国产精品资源视频|精彩无码视频一区|91大神在线后入|伊人终合在线播放|久草综合久久中文

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

Zip Slip 漏洞影響重要企業(yè)數(shù)千個(gè)項(xiàng)目

pIuy_EAQapp ? 來源:未知 ? 作者:李倩 ? 2018-06-08 14:16 ? 次閱讀
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

6月7日訊 英國(guó)軟件公司 Snyk 的安全團(tuán)隊(duì)2018年 6月5日公開披露影響處理壓縮文件的開源編碼庫(kù)的嚴(yán)重漏洞“Zip Slip(“壓縮失誤”)”,它是一種影響廣泛的存檔文件提取漏洞,允許攻擊者在系統(tǒng)上編寫任意文件,可引發(fā)遠(yuǎn)程命令執(zhí)行問題。Snyk 已發(fā)布技術(shù)白皮書詳細(xì)介紹了該漏洞。

影響重要企業(yè)數(shù)千個(gè)項(xiàng)目

Snyk 的首席執(zhí)行官蓋·伯德扎尼,安全研究人員早在過去就曾注意到這個(gè)漏洞,但從未預(yù)料到它會(huì)得到如此廣泛的傳播。

可導(dǎo)致文件被解壓到錯(cuò)誤的位置

Zip Slip 屬于任意文件覆蓋漏洞,通過目錄遍歷攻擊被觸發(fā),可從存檔文件中提取文件,可導(dǎo)致攻擊者將文件解壓到正常的解壓路徑中并覆寫敏感文件,例如重要的OS庫(kù)或者服務(wù)器配置文件。該漏洞影響了大量壓縮格式,包括 tar、jar、war、cpio、apk、rar和7z。

雖然該漏洞廣泛存在于 JavaScript、Ruby、.NET、Go 等多種程序語言中,其影響了包括谷歌、甲骨文、IBM、Apache、亞馬遜、Spring/Pivotal、Linkedin、Twitter、阿里巴巴、Eclipse、OWASP、ElasticSearch 和 JetBrains 在內(nèi)的數(shù)千個(gè)項(xiàng)目,但該漏洞主要影響的是 Java 生態(tài)系統(tǒng),因?yàn)槠淙狈?a target="_blank">中心程序庫(kù)對(duì)存檔文件進(jìn)行高級(jí)處理,導(dǎo)致開發(fā)人員必須自己編寫代碼或使用共享代碼。

關(guān)于“Zip Slip”漏洞

Snyk 在技術(shù)白皮書中寫道,攻擊者可使用特制、含有目錄遍歷文件名(例如../../evil.sh)的存檔文件來觸發(fā)該漏洞。攻擊者要利用該漏洞需具備兩個(gè)前提條件:1、惡意存檔文件;2、提取代碼不執(zhí)行驗(yàn)證檢查。

研究人員指出,選用合適的工具創(chuàng)建惡意存檔文件很容易,而且存在缺陷的庫(kù)/代碼片段相當(dāng)多,因此該漏洞很容易被利用發(fā)起攻擊。

伯德扎尼認(rèn)為漏洞之所以存在,又兩個(gè)原因:

程序代碼本身很復(fù)雜,不具備安全專家知識(shí)的開發(fā)人員通常將工作重點(diǎn)放在按時(shí)完成代碼編寫上,因此安全漏洞的問題容易被忽略。

在不斷擴(kuò)展的開源世界中,開發(fā)人員嚴(yán)重依賴共享的庫(kù),并復(fù)制 StackOverflow 等社交網(wǎng)絡(luò)的代碼。這種重用的做法有助于加速開發(fā),但也意味著共享代碼庫(kù)(或其它)中的漏洞傳播速度更快,Zip Slip 就是如此。

研究人員也公布了PoC代碼,便于開發(fā)人員檢測(cè)漏洞是否存在。Snyk 還發(fā)布了利用該漏洞的視頻演示:

漏洞修復(fù)可能不徹底

伯德扎尼表示,許多大型的庫(kù)和項(xiàng)目現(xiàn)已修復(fù)問題,但這不意味著所有人都將使用最新版的庫(kù)。

Snyk 安全團(tuán)隊(duì)提供了建議措施,以供檢查項(xiàng)目是否受到 Zip Slip 漏洞影響,包括在項(xiàng)目中搜索易受攻擊的代碼。Snyk 還舉例羅列了不同程序語言中易受攻擊的代碼以及可供檢查的驗(yàn)證代碼。

Snyk 未提及攻擊者利用該漏洞的情況。伯德扎尼指出,由于利用的結(jié)果只是簡(jiǎn)單體現(xiàn)在系統(tǒng)的文件中,因此難以檢測(cè)系統(tǒng)是否已被利用。檢測(cè)工具可檢查 Zip 和通過其它來源進(jìn)入網(wǎng)絡(luò)的其它存檔文件來識(shí)別攻擊,檢查其中列出的文件,并標(biāo)記指向外部文件夾的文件(例如../../evil.exe)。值得注意的是,存檔文件可上傳到應(yīng)用程序或從內(nèi)部下載,因此應(yīng)當(dāng)監(jiān)控這兩種流量來源。

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • 編碼
    +關(guān)注

    關(guān)注

    6

    文章

    969

    瀏覽量

    55792
  • 漏洞
    +關(guān)注

    關(guān)注

    0

    文章

    205

    瀏覽量

    15703

原文標(biāo)題:Zip Slip 漏洞席卷數(shù)千個(gè)采用“壓縮文件開源編碼庫(kù)”項(xiàng)目

文章出處:【微信號(hào):EAQapp,微信公眾號(hào):E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

收藏 人收藏
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

    評(píng)論

    相關(guān)推薦
    熱點(diǎn)推薦

    SLIP協(xié)議及其在直流電能表中的應(yīng)用

    SLIP協(xié)議憑借其簡(jiǎn)潔性,在直流電能表等嵌入式設(shè)備中仍占一席之地。
    的頭像 發(fā)表于 05-20 14:34 ?216次閱讀
    <b class='flag-5'>SLIP</b>協(xié)議及其在直流電能表中的應(yīng)用

    官方實(shí)錘,微軟遠(yuǎn)程桌面爆高危漏洞,企業(yè)數(shù)據(jù)安全告急!

    近日,微軟發(fā)布安全通告,其Windows遠(yuǎn)程桌面網(wǎng)關(guān)(RD)服務(wù)存在兩大高危漏洞:CVE-2025-26677CVE-2025-26677是遠(yuǎn)程桌面網(wǎng)關(guān)服務(wù)DoS漏洞,允許未經(jīng)授權(quán)的攻擊者觸發(fā)
    的頭像 發(fā)表于 05-16 17:35 ?380次閱讀
    官方實(shí)錘,微軟遠(yuǎn)程桌面爆高危<b class='flag-5'>漏洞</b>,<b class='flag-5'>企業(yè)</b>數(shù)據(jù)安全告急!

    100個(gè)節(jié)點(diǎn)測(cè)試藍(lán)牙Mesh?來看看效果

    的mesh網(wǎng)絡(luò)技術(shù)。它擴(kuò)展了低功耗藍(lán)牙的功能,使其能夠在具有數(shù)千個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)中實(shí)現(xiàn)強(qiáng)大的并發(fā)多播(多對(duì)多)通信。這項(xiàng)功能是照明、傳感器網(wǎng)絡(luò)、預(yù)測(cè)性維護(hù)、資產(chǎn)跟蹤和定位等新應(yīng)用的重要更新。 藍(lán)牙Mesh是一種受管理的泛洪網(wǎng)格。它是在大型網(wǎng)絡(luò)中分發(fā)信息的一種簡(jiǎn)單
    的頭像 發(fā)表于 04-09 13:58 ?355次閱讀
    100<b class='flag-5'>個(gè)</b>節(jié)點(diǎn)測(cè)試藍(lán)牙Mesh?來看看效果

    干簧繼電器:功能PCB測(cè)試的關(guān)鍵部件

    可達(dá)數(shù)千個(gè)元件。在較大尺寸的PCB上,通常存在數(shù)千個(gè)測(cè)試點(diǎn),需要對(duì)其功能進(jìn)行檢測(cè),每個(gè)測(cè)試點(diǎn)需要多達(dá)6個(gè)開關(guān),以正確切換不同的電壓和電流,并確定其功能。 半導(dǎo)體開關(guān)存在漏電過大、缺乏隔離以及可能與實(shí)際
    發(fā)表于 03-11 16:16

    干簧繼電器:功能PCB測(cè)試的關(guān)鍵部件

    可達(dá)數(shù)千個(gè)元件。在較大尺寸的PCB上,通常存在數(shù)千個(gè)測(cè)試點(diǎn),需要對(duì)其功能進(jìn)行檢測(cè),每個(gè)測(cè)試點(diǎn)需要多達(dá)6個(gè)開關(guān),以正確切換不同的電壓和電流,并確定其功能。半導(dǎo)體開關(guān)存在
    的頭像 發(fā)表于 02-10 13:47 ?510次閱讀
    干簧繼電器:功能PCB測(cè)試的關(guān)鍵部件

    AMD與谷歌披露關(guān)鍵微碼漏洞

    近日,AMD與谷歌聯(lián)合公開披露了一個(gè)在2024年9月發(fā)現(xiàn)的關(guān)鍵微碼漏洞,該漏洞主要存在于AMD的Zen 1至Zen 4系列CPU中,特別是針對(duì)服務(wù)器/企業(yè)級(jí)平臺(tái)的EPYC CPU。 這
    的頭像 發(fā)表于 02-08 14:28 ?534次閱讀

    和芯星通再獲重要智駕項(xiàng)目

    近日,和芯星通車規(guī)級(jí)多系統(tǒng)雙頻高精度定位模塊贏得重要智駕項(xiàng)目!
    的頭像 發(fā)表于 11-18 11:24 ?707次閱讀

    利用NVIDIA SHARP網(wǎng)絡(luò)計(jì)算提升系統(tǒng)性能

    AI 和科學(xué)計(jì)算是分布式計(jì)算問題的典型示例。這些問題通常計(jì)算量巨大,計(jì)算很密集,無法在單臺(tái)機(jī)器上完成。于是,這些計(jì)算被分解為并行任務(wù),由分布在數(shù)千個(gè) CPU 或 GPU 的計(jì)算引擎上運(yùn)行。
    的頭像 發(fā)表于 11-13 11:42 ?915次閱讀
    利用NVIDIA SHARP網(wǎng)絡(luò)計(jì)算提升系統(tǒng)性能

    覺機(jī)器人完成數(shù)千萬元天使輪融資

    近日,多模態(tài)觸覺感知傳感器公司覺機(jī)器人(Xense Robotics)成功完成了數(shù)千萬元人民幣的天使輪融資。本輪融資由高瓴創(chuàng)投(GL Ventures)領(lǐng)投,交大菡源基金等投資方跟投。
    的頭像 發(fā)表于 10-14 16:02 ?664次閱讀

    漏洞掃描的主要功能是什么

    漏洞掃描是一種網(wǎng)絡(luò)安全技術(shù),用于識(shí)別計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序中的安全漏洞。這些漏洞可能被惡意用戶利用來獲取未授權(quán)訪問、數(shù)據(jù)泄露或其他形式的攻擊。漏洞掃描的主要功能是幫助組織及時(shí)發(fā)現(xiàn)并
    的頭像 發(fā)表于 09-25 10:25 ?951次閱讀

    內(nèi)核程序漏洞介紹

    電子發(fā)燒友網(wǎng)站提供《內(nèi)核程序漏洞介紹.pdf》資料免費(fèi)下載
    發(fā)表于 08-12 09:38 ?0次下載

    蘋果macOS 15 Sequoia將修復(fù)18年老漏洞,筑牢企業(yè)內(nèi)網(wǎng)安全防線

    8月8日,網(wǎng)絡(luò)安全領(lǐng)域傳來重要消息,一個(gè)長(zhǎng)達(dá)18年的安全漏洞正在被黑客廣泛利用,以入侵企業(yè)內(nèi)網(wǎng),威脅企業(yè)信息安全。幸運(yùn)的是,蘋果公司已確認(rèn)在
    的頭像 發(fā)表于 08-08 17:16 ?859次閱讀

    芯片巨頭計(jì)劃大裁員!波及數(shù)千崗位!

    來源:EETOP 編輯:感知芯視界 Link 據(jù)彭博社本周二援引知情人士的話報(bào)道,英特爾計(jì)劃削減數(shù)千個(gè)工作崗位,旨在為公司的復(fù)蘇提供資金并應(yīng)對(duì)市場(chǎng)份額的侵蝕。計(jì)劃最早可能在本周宣布。 這一消息公布前
    的頭像 發(fā)表于 08-02 09:55 ?721次閱讀

    英特爾將裁員數(shù)千人 降本增效

    裁員、降本增效似乎總在不經(jīng)意間就來臨,為節(jié)約成本、應(yīng)對(duì)盈利下滑和市場(chǎng)份額下降;英特爾或?qū)⒉脝T數(shù)千人。 據(jù)彭博社31日?qǐng)?bào)道,英特爾的裁員計(jì)劃最早可能會(huì)在本周宣布。目前英特爾公司大約有11萬名員工;裁員
    的頭像 發(fā)表于 07-31 18:10 ?1422次閱讀