ZIPに任意コード実行の脆弱性があった

解凍圧縮の著名な規格であるZIPに任意コードが実行される脆弱性があったそうです。
発覚は今年の4月で非公開でHP、Amazon、Apache、Pivotalなど対策が実施済みとのこと。
と言うことはサーバーサイドの脆弱性なんですかね。
素人側が注意すべき点は特になさそう。

広く採用されている書庫展開処理に任意コード実行を許す脆弱性 ~数千のプロジェクトに影響

Zip Slip Vulnerability

Zip Slip

書庫内部のファイルパスを連結する処理で検証が行われず
任意のコードが実行可能になっていたようです。

実はZIPのみではなくTAR、JAR、WAR、CPIO、APK、RARと7Zなども同様だったとのこと。

影響を受けるのはJavascript、.NET、Ruby、Javaなど。

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください