Path Traversal: Mit Zip Slip lassen sich beliebige Dateien verändern

Eine Sicherheitslücke in Kompressionsbibliotheken ermöglicht Angreifern, Dateien zu verändern und an beliebige Orte zu schreiben. Sind Adminrechte vorhanden, können Exe-Dateien getauscht und Skripte manipuliert werden.

Artikel veröffentlicht am ,
Dieses Kompressionstool ermöglicht sicher kein Path Traversal.
Dieses Kompressionstool ermöglicht sicher kein Path Traversal. (Bild: Pixabay/CC0 1.0)

Eine Sicherheitslücke in Programmen zum Dekomprimieren von Dateien kann im Extremfall dazu führen, dass Angreifer mit manipulierten Archiven wichtige Systemdateien auf einem Computer überschreiben und verändern können. Die Zip Slip genannte Lücke hat ihren Ursprung in verschiedenen Entwicklerbibliotheken der Hersteller Apache, Oracle und anderen.

Stellenmarkt
  1. Business Continuity Manager:in (w/d/m)
    Haufe Group, Freiburg im Breisgau
  2. Projektleiter (m/w/d)
    wilhelm.tel GmbH, Norderstedt
Detailsuche

Patches für die Bibliotheken sind vorhanden, müssen allerdings von den Anbietern der Kompressionsprogramme eingespielt und in die Software integriert werden. Nach Angaben der Sicherheitsfirma Snyk liegt der Fehler im Code zum Entpacken von Archiven. In einigen Fällen prüft die Software die Dateinamen nicht richtig oder nimmt keine Bereinigung von Kommandos vor ('sanitization').

In diesem Fall könnte ein Angreifer Dateien aus dem Archiv an eine andere Stelle im System schreiben, als eigentlich vorgesehen. Diese sogenannte Path-Traversal-Lücke ist besonders dann kritisch, wenn der Code von einem Account mit Administratorrechten entpackt wird. Denn in diesem Fall könnte ein Angreifer auch Dateien auf dem Systemlaufwerk ablegen oder möglicherweise kritische Exe-Dateien austauschen. Dies könnte dann als Basis für weitere Angriffe dienen. Das Archiv müsste allerdings zuvor vom Nutzer entpackt werden.

Der Fehler soll in Googles Cloud-Plattform, in Oracles Softwaresuite, in Amazons Codepipeline, bei IBMs Datapower-System sowie bei Alibaba Jstorm und Twitter Heron vorkommen. Diese Liste ist nach Angaben von Snyk aber nicht abschließend. "Der Fehler betrifft Tausende Projekte in verschiedenen Ökosystemen, tritt aber besonders häufig in Java-Implementierungen auf", heißt es in der Sicherheitswarnung. Denn Java biete anders als andere Umgebungen keine zentrale Bibliothek zum Umgang mit Archiven an, daher müsste diese Fähigkeit als Komponenten nachgereicht werden.

Golem Karrierewelt
  1. IPv6 Grundlagen: virtueller Zwei-Tage-Workshop
    19./20.12.2022, virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    20.-23.02.2023, Virtuell
Weitere IT-Trainings

Bibliotheken in Python und Ruby sind demnach nicht betroffen, bei Microsofts .Net ist nur NuGet's DotNetZip verwundbar. Die Kernbibliothek von .Net weist keine Probleme auf. Oracle hat seine java.util.zip bereits auf den aktuellen Stand gebracht, auch Apaches commons-compress ist gepatcht (Version 1.17). Im Javascript Paketmanager NPM wurden die Pakete Unzipper und Adm-zip ebenfalls mit Updates versorgt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ldlx 09. Jun 2018

Für 9.20 gabs ein Update vom Hersteller eines Mail-Gateways (Trustwave MailMarshal) wegen...

pinki 08. Jun 2018

Was soll das sein? Eine Datei, in der Daten im JSON-Format stehen, die man dann auch im...

FreiGeistler 07. Jun 2018

Irgendwas zipen. Zip im Hex-Editor öffnen, etwas das nach einem Pfad aussieht finden...

FreiGeistler 07. Jun 2018

Nein, da die Dateien ja hierarchisch ausserhalb der zip liegen. Ich nehme an...



Aktuell auf der Startseite von Golem.de
Japan und die Digitalisierung
Immer noch zu analog

Japan ist bekannt für Hightech und Roboter. Bei der Digitalisierung liegt man aber hinter anderen Industriestaaten, viele Arbeitsprozesse sind bis heute analog.
Ein Bericht von Felix Lill

Japan und die Digitalisierung: Immer noch zu analog
Artikel
  1. Amazon Shopper Panel: Amazon zahlt für Überwachung des Smartphone-Datenverkehrs
    Amazon Shopper Panel
    Amazon zahlt für Überwachung des Smartphone-Datenverkehrs

    Wer seinen gesamten Smartphone-Datenverkehr über Amazons Server leitet, wird mit einem monatlichen Gutschein dafür bezahlt.

  2. Soziale Netzwerke: Liken bei Hasspostings kann strafbar sein
    Soziale Netzwerke
    Liken bei Hasspostings kann strafbar sein

    Facebook-Nutzer, die nicht davor zurückschrecken, diskriminierende oder beleidigende oder Postings zu liken, sollten sich das gut überlegen. Denn das Drücken des Gefällt-mir-Buttons kann hier erhebliche rechtliche Folgen haben.
    Von Harald Büring

  3. Konflikt mit den USA: Snowden verteidigt seine russische Staatsbürgerschaft
    Konflikt mit den USA
    Snowden verteidigt seine russische Staatsbürgerschaft

    Eigentlich wollte Edward Snowden parallel die US-amerikanische Staatsbürgerschaft behalten - das wurde ihm unmöglich gemacht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • SanDisk Extreme PRO 1TB 141,86€ • Amazon-Geräte bis -53% • Mindstar: Alphacool Eiswolf 2 AiO 360 199€, AMD-Ryzen-CPUs zu Bestpreisen • Alternate: WD_BLACK P10 2TB 76,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /