Cảnh báo lỗ hổng zip slip trong các thư viện giải nén
Zip slip – Một lỗ hổng nằm trong các thư viện giải nén đang gây ảnh hưởng tới hàng loạt dự án của các tập đoàn công nghệ lớn trên thế giới, bao gồm cả Google, IBM, Apache…
Một chuyên viên phân tích an ninh mạng tại Synk vừa công bố chi tiết về 1 lỗ hổng nghiêm trọng. Lỗ hổng này có thể gây ảnh hưởng tới hàng ngàn dự án phần mềm. Hacker có thể lợi dụng lỗ hổng này để thực thi các đoạn mã độc hại từ xa (RCE) trên hệ thống.
Với tên gọi “zip slip”, lỗ hổng cho phép ghi đè tùy ý bất cứ tệp tin nào trên máy chủ bằng cách lợi dùng các cuộc tấn công
directory traversal
. Vấn đề xảy ra trong quá trình giải nén một file nén. Lỗ hổng ảnh hưởng tới nhiều loại định dạng khác nhau bao gồm: tar, jar, war, cpio, apk, rar and 7z.
zipslip
,1day
,an ninh mạng
Ghi đè bất kỳ tập tin nào mà chương trình bị khai thác có quyền ghi thì đúng hơn. Thế nên nguyên lý least privilege luôn có hiệu quả nhất định khi bị exploit :)
Nội dung liên quan
Giggs Ryan
09183xxxxx
mấy ông to thương mại điện tử dính hết nhỉ