Abo
  • Services:

Path Traversal: Mit Zip Slip lassen sich beliebige Dateien verändern

Eine Sicherheitslücke in Kompressionsbibliotheken ermöglicht Angreifern, Dateien zu verändern und an beliebige Orte zu schreiben. Sind Adminrechte vorhanden, können Exe-Dateien getauscht und Skripte manipuliert werden.

Artikel veröffentlicht am ,
Dieses Kompressionstool ermöglicht sicher kein Path Traversal.
Dieses Kompressionstool ermöglicht sicher kein Path Traversal. (Bild: Pixabay/CC0 1.0)

Eine Sicherheitslücke in Programmen zum Dekomprimieren von Dateien kann im Extremfall dazu führen, dass Angreifer mit manipulierten Archiven wichtige Systemdateien auf einem Computer überschreiben und verändern können. Die Zip Slip genannte Lücke hat ihren Ursprung in verschiedenen Entwicklerbibliotheken der Hersteller Apache, Oracle und anderen.

Stellenmarkt
  1. Bosch Gruppe, Stuttgart-Feuerbach
  2. BWI GmbH, Nürnberg, München

Patches für die Bibliotheken sind vorhanden, müssen allerdings von den Anbietern der Kompressionsprogramme eingespielt und in die Software integriert werden. Nach Angaben der Sicherheitsfirma Snyk liegt der Fehler im Code zum Entpacken von Archiven. In einigen Fällen prüft die Software die Dateinamen nicht richtig oder nimmt keine Bereinigung von Kommandos vor ('sanitization').

In diesem Fall könnte ein Angreifer Dateien aus dem Archiv an eine andere Stelle im System schreiben, als eigentlich vorgesehen. Diese sogenannte Path-Traversal-Lücke ist besonders dann kritisch, wenn der Code von einem Account mit Administratorrechten entpackt wird. Denn in diesem Fall könnte ein Angreifer auch Dateien auf dem Systemlaufwerk ablegen oder möglicherweise kritische Exe-Dateien austauschen. Dies könnte dann als Basis für weitere Angriffe dienen. Das Archiv müsste allerdings zuvor vom Nutzer entpackt werden.

Der Fehler soll in Googles Cloud-Plattform, in Oracles Softwaresuite, in Amazons Codepipeline, bei IBMs Datapower-System sowie bei Alibaba Jstorm und Twitter Heron vorkommen. Diese Liste ist nach Angaben von Snyk aber nicht abschließend. "Der Fehler betrifft Tausende Projekte in verschiedenen Ökosystemen, tritt aber besonders häufig in Java-Implementierungen auf", heißt es in der Sicherheitswarnung. Denn Java biete anders als andere Umgebungen keine zentrale Bibliothek zum Umgang mit Archiven an, daher müsste diese Fähigkeit als Komponenten nachgereicht werden.

Bibliotheken in Python und Ruby sind demnach nicht betroffen, bei Microsofts .Net ist nur NuGet's DotNetZip verwundbar. Die Kernbibliothek von .Net weist keine Probleme auf. Oracle hat seine java.util.zip bereits auf den aktuellen Stand gebracht, auch Apaches commons-compress ist gepatcht (Version 1.17). Im Javascript Paketmanager NPM wurden die Pakete Unzipper und Adm-zip ebenfalls mit Updates versorgt.



Anzeige
Hardware-Angebote
  1. und Assassins Creed Odyssey, Strange Brigade und Star Control Origins kostenlos dazu erhalten
  2. 482,99€ inkl. Versand (aktuell günstigste GTX 1080)
  3. täglich neue Deals bei Alternate.de

ldlx 09. Jun 2018

Für 9.20 gabs ein Update vom Hersteller eines Mail-Gateways (Trustwave MailMarshal) wegen...

pinki 08. Jun 2018

Was soll das sein? Eine Datei, in der Daten im JSON-Format stehen, die man dann auch im...

FreiGeistler 07. Jun 2018

Irgendwas zipen. Zip im Hex-Editor öffnen, etwas das nach einem Pfad aussieht finden...

FreiGeistler 07. Jun 2018

Nein, da die Dateien ja hierarchisch ausserhalb der zip liegen. Ich nehme an...

derdiedas 06. Jun 2018

und ist eigentlich das fundamentale Probleme heutiger IT. Emmergenz bedeutet vereinfacht...


Folgen Sie uns
       


Energiespeicher in der Cruijff Arena - Bericht

Die Ajax-Arena in Amsterdam wird komplett aus eigenen Akkureserven betrieben. Die USVen im Keller des Gebäudes werden von Solarzellen auf dem Dach und parkenden Elektroautos aufgeladen. Golem.de konnte sich das Konzept genauer anschauen.

Energiespeicher in der Cruijff Arena - Bericht Video aufrufen
Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Autonomes Fahren Ford will lieber langsam sein
  2. Navya Mainz testet autonomen Bus am Rheinufer
  3. Drive-by-wire Schaeffler kauft Lenktechnik für autonomes Fahren

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Parker Solar Probe Sonnen-Sonde der Nasa erfolgreich gestartet
  2. Parker Solar Probe Nasa verschiebt Start seiner Sonnen-Sonde
  3. Raumfahrt Die neuen Astronauten für SpaceX und Boeing

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Fancy Bear Microsoft verhindert neue Phishing-Angriffe auf US-Politiker
  2. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  3. US Space Force Planlos im Weltraum

    •  /