Abo
  • Services:

Path Traversal: Mit Zip Slip lassen sich beliebige Dateien verändern

Eine Sicherheitslücke in Kompressionsbibliotheken ermöglicht Angreifern, Dateien zu verändern und an beliebige Orte zu schreiben. Sind Adminrechte vorhanden, können Exe-Dateien getauscht und Skripte manipuliert werden.

Artikel veröffentlicht am ,
Dieses Kompressionstool ermöglicht sicher kein Path Traversal.
Dieses Kompressionstool ermöglicht sicher kein Path Traversal. (Bild: Pixabay/CC0 1.0)

Eine Sicherheitslücke in Programmen zum Dekomprimieren von Dateien kann im Extremfall dazu führen, dass Angreifer mit manipulierten Archiven wichtige Systemdateien auf einem Computer überschreiben und verändern können. Die Zip Slip genannte Lücke hat ihren Ursprung in verschiedenen Entwicklerbibliotheken der Hersteller Apache, Oracle und anderen.

Stellenmarkt
  1. EnBW Energie Baden-Württemberg AG, Karlsruhe
  2. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm

Patches für die Bibliotheken sind vorhanden, müssen allerdings von den Anbietern der Kompressionsprogramme eingespielt und in die Software integriert werden. Nach Angaben der Sicherheitsfirma Snyk liegt der Fehler im Code zum Entpacken von Archiven. In einigen Fällen prüft die Software die Dateinamen nicht richtig oder nimmt keine Bereinigung von Kommandos vor ('sanitization').

In diesem Fall könnte ein Angreifer Dateien aus dem Archiv an eine andere Stelle im System schreiben, als eigentlich vorgesehen. Diese sogenannte Path-Traversal-Lücke ist besonders dann kritisch, wenn der Code von einem Account mit Administratorrechten entpackt wird. Denn in diesem Fall könnte ein Angreifer auch Dateien auf dem Systemlaufwerk ablegen oder möglicherweise kritische Exe-Dateien austauschen. Dies könnte dann als Basis für weitere Angriffe dienen. Das Archiv müsste allerdings zuvor vom Nutzer entpackt werden.

Der Fehler soll in Googles Cloud-Plattform, in Oracles Softwaresuite, in Amazons Codepipeline, bei IBMs Datapower-System sowie bei Alibaba Jstorm und Twitter Heron vorkommen. Diese Liste ist nach Angaben von Snyk aber nicht abschließend. "Der Fehler betrifft Tausende Projekte in verschiedenen Ökosystemen, tritt aber besonders häufig in Java-Implementierungen auf", heißt es in der Sicherheitswarnung. Denn Java biete anders als andere Umgebungen keine zentrale Bibliothek zum Umgang mit Archiven an, daher müsste diese Fähigkeit als Komponenten nachgereicht werden.

Bibliotheken in Python und Ruby sind demnach nicht betroffen, bei Microsofts .Net ist nur NuGet's DotNetZip verwundbar. Die Kernbibliothek von .Net weist keine Probleme auf. Oracle hat seine java.util.zip bereits auf den aktuellen Stand gebracht, auch Apaches commons-compress ist gepatcht (Version 1.17). Im Javascript Paketmanager NPM wurden die Pakete Unzipper und Adm-zip ebenfalls mit Updates versorgt.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. 5€ inkl. FSK-18-Versand
  3. 5€ inkl. FSK-18-Versand

ldlx 09. Jun 2018

Für 9.20 gabs ein Update vom Hersteller eines Mail-Gateways (Trustwave MailMarshal) wegen...

pinki 08. Jun 2018

Was soll das sein? Eine Datei, in der Daten im JSON-Format stehen, die man dann auch im...

FreiGeistler 07. Jun 2018

Irgendwas zipen. Zip im Hex-Editor öffnen, etwas das nach einem Pfad aussieht finden...

FreiGeistler 07. Jun 2018

Nein, da die Dateien ja hierarchisch ausserhalb der zip liegen. Ich nehme an...

derdiedas 06. Jun 2018

und ist eigentlich das fundamentale Probleme heutiger IT. Emmergenz bedeutet vereinfacht...


Folgen Sie uns
       


Galaxy S10e, Galaxy S10 und Galaxy S10 im Hands on

Samsung hat seine neue Galaxy-S10-Serie auf mehrere Bildschirmgrößen aufgeteilt. Besonders das "kleine" Galaxy S10e finden wir im Vorabtest interessant.

Galaxy S10e, Galaxy S10 und Galaxy S10 im Hands on Video aufrufen
Dirt Rally 2.0 im Test: Extra, extra gut
Dirt Rally 2.0 im Test
Extra, extra gut

Codemasters übertrifft mit Dirt Rally 2.0 das bereits famose Dirt Rally - allerdings nicht in allen Punkten.
Von Michael Wieczorek

  1. Dirt Rally 2.0 angespielt Mit Konzentration und Geschick durch immer tieferen Schlamm
  2. Codemasters Simulationslastiges Rennspiel Dirt Rally 2.0 angekündigt

Honor Magic 2 im Test: Die Smartphone-Revolution ist aufgeschoben
Honor Magic 2 im Test
Die Smartphone-Revolution ist aufgeschoben

Ein Smartphone, dessen vordere Seite vollständig vom Display ausgefüllt wird: Diesem Ideal kommt Honor mit dem Magic 2 schon ziemlich nahe. Nicht mit Magie, sondern mit Hilfe eines Slider-Mechanismus. Honor verschenkt beim Magic 2 aber viel Potenzial, wie der Test zeigt.
Ein Test von Tobias Czullay

  1. Honor Neues Magic 2 mit Slider und ohne Notch vorgestellt
  2. Huawei Neues Honor 8X kostet 250 Euro
  3. Honor 10 vs. Oneplus 6 Oberklasse ab 400 Euro

Emotionen erkennen: Ein Lächeln macht noch keinen Frohsinn
Emotionen erkennen
Ein Lächeln macht noch keinen Frohsinn

Wer lächelt, ist froh - zumindest in der Interpretation eines Computers. Die gängigen Systeme zur Emotionserkennung interpretieren den Gesichtsausdruck als internes Gefühl. Die interne Gefühlswelt ist jedoch sehr viel komplexer. Ein Projekt des DFKI entwickelt ein System, das Gefühle besser erkennen soll.
Ein Bericht von Werner Pluta

  1. Ökostrom Wie Norddeutschland die Energiewende vormacht
  2. Magnetfeld Wenn der Nordpol wandern geht
  3. Computational Periscopy Forscher sehen mit einfacher Digitalkamera um die Ecke

    •  /