Abo
  • IT-Karriere:

Path Traversal: Mit Zip Slip lassen sich beliebige Dateien verändern

Eine Sicherheitslücke in Kompressionsbibliotheken ermöglicht Angreifern, Dateien zu verändern und an beliebige Orte zu schreiben. Sind Adminrechte vorhanden, können Exe-Dateien getauscht und Skripte manipuliert werden.

Artikel veröffentlicht am ,
Dieses Kompressionstool ermöglicht sicher kein Path Traversal.
Dieses Kompressionstool ermöglicht sicher kein Path Traversal. (Bild: Pixabay/CC0 1.0)

Eine Sicherheitslücke in Programmen zum Dekomprimieren von Dateien kann im Extremfall dazu führen, dass Angreifer mit manipulierten Archiven wichtige Systemdateien auf einem Computer überschreiben und verändern können. Die Zip Slip genannte Lücke hat ihren Ursprung in verschiedenen Entwicklerbibliotheken der Hersteller Apache, Oracle und anderen.

Stellenmarkt
  1. ManpowerGroup Deutschland GmbH & Co. KG, Kiel
  2. Proximity Technology GmbH, Hamburg

Patches für die Bibliotheken sind vorhanden, müssen allerdings von den Anbietern der Kompressionsprogramme eingespielt und in die Software integriert werden. Nach Angaben der Sicherheitsfirma Snyk liegt der Fehler im Code zum Entpacken von Archiven. In einigen Fällen prüft die Software die Dateinamen nicht richtig oder nimmt keine Bereinigung von Kommandos vor ('sanitization').

In diesem Fall könnte ein Angreifer Dateien aus dem Archiv an eine andere Stelle im System schreiben, als eigentlich vorgesehen. Diese sogenannte Path-Traversal-Lücke ist besonders dann kritisch, wenn der Code von einem Account mit Administratorrechten entpackt wird. Denn in diesem Fall könnte ein Angreifer auch Dateien auf dem Systemlaufwerk ablegen oder möglicherweise kritische Exe-Dateien austauschen. Dies könnte dann als Basis für weitere Angriffe dienen. Das Archiv müsste allerdings zuvor vom Nutzer entpackt werden.

Der Fehler soll in Googles Cloud-Plattform, in Oracles Softwaresuite, in Amazons Codepipeline, bei IBMs Datapower-System sowie bei Alibaba Jstorm und Twitter Heron vorkommen. Diese Liste ist nach Angaben von Snyk aber nicht abschließend. "Der Fehler betrifft Tausende Projekte in verschiedenen Ökosystemen, tritt aber besonders häufig in Java-Implementierungen auf", heißt es in der Sicherheitswarnung. Denn Java biete anders als andere Umgebungen keine zentrale Bibliothek zum Umgang mit Archiven an, daher müsste diese Fähigkeit als Komponenten nachgereicht werden.

Bibliotheken in Python und Ruby sind demnach nicht betroffen, bei Microsofts .Net ist nur NuGet's DotNetZip verwundbar. Die Kernbibliothek von .Net weist keine Probleme auf. Oracle hat seine java.util.zip bereits auf den aktuellen Stand gebracht, auch Apaches commons-compress ist gepatcht (Version 1.17). Im Javascript Paketmanager NPM wurden die Pakete Unzipper und Adm-zip ebenfalls mit Updates versorgt.



Anzeige
Top-Angebote
  1. (u. a. mit TV- und Fotoangeboten)
  2. 19€ (ohne Prime oder unter 29€ zzgl. Versand) - Bestpreis!
  3. 39€
  4. 26€ (ohne Prime oder unter 29€ zzgl. Versand) - Bestpreis!

ldlx 09. Jun 2018

Für 9.20 gabs ein Update vom Hersteller eines Mail-Gateways (Trustwave MailMarshal) wegen...

pinki 08. Jun 2018

Was soll das sein? Eine Datei, in der Daten im JSON-Format stehen, die man dann auch im...

FreiGeistler 07. Jun 2018

Irgendwas zipen. Zip im Hex-Editor öffnen, etwas das nach einem Pfad aussieht finden...

FreiGeistler 07. Jun 2018

Nein, da die Dateien ja hierarchisch ausserhalb der zip liegen. Ich nehme an...

derdiedas 06. Jun 2018

und ist eigentlich das fundamentale Probleme heutiger IT. Emmergenz bedeutet vereinfacht...


Folgen Sie uns
       


Ursula von der Leyen: Von Zensursula zur EU-Kommissionspräsidentin
Ursula von der Leyen
Von "Zensursula" zur EU-Kommissionspräsidentin

Nach der "Rede ihres Lebens" hat das Europäische Parlament am Dienstagabend Ursula von der Leyen an die Spitze der EU-Kommission gewählt. Die Christdemokratin will sich in ihrem neuen Amt binnen 100 Tagen für einen Ethik-Rahmen für KI und ambitioniertere Klimaziele stark machen. Den Planeten retten, lautet ihr ganz großer Vorsatz.
Ein Bericht von Justus Staufburg

  1. Adsense for Search Neue Milliardenstrafe gegen Google in der EU

Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

    •  /