• IT-Karriere:
  • Services:

Path Traversal: Mit Zip Slip lassen sich beliebige Dateien verändern

Eine Sicherheitslücke in Kompressionsbibliotheken ermöglicht Angreifern, Dateien zu verändern und an beliebige Orte zu schreiben. Sind Adminrechte vorhanden, können Exe-Dateien getauscht und Skripte manipuliert werden.

Artikel veröffentlicht am ,
Dieses Kompressionstool ermöglicht sicher kein Path Traversal.
Dieses Kompressionstool ermöglicht sicher kein Path Traversal. (Bild: Pixabay/CC0 1.0)

Eine Sicherheitslücke in Programmen zum Dekomprimieren von Dateien kann im Extremfall dazu führen, dass Angreifer mit manipulierten Archiven wichtige Systemdateien auf einem Computer überschreiben und verändern können. Die Zip Slip genannte Lücke hat ihren Ursprung in verschiedenen Entwicklerbibliotheken der Hersteller Apache, Oracle und anderen.

Stellenmarkt
  1. Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU), Erlangen
  2. Paracelsus-Klinik Golzheim, Düsseldorf

Patches für die Bibliotheken sind vorhanden, müssen allerdings von den Anbietern der Kompressionsprogramme eingespielt und in die Software integriert werden. Nach Angaben der Sicherheitsfirma Snyk liegt der Fehler im Code zum Entpacken von Archiven. In einigen Fällen prüft die Software die Dateinamen nicht richtig oder nimmt keine Bereinigung von Kommandos vor ('sanitization').

In diesem Fall könnte ein Angreifer Dateien aus dem Archiv an eine andere Stelle im System schreiben, als eigentlich vorgesehen. Diese sogenannte Path-Traversal-Lücke ist besonders dann kritisch, wenn der Code von einem Account mit Administratorrechten entpackt wird. Denn in diesem Fall könnte ein Angreifer auch Dateien auf dem Systemlaufwerk ablegen oder möglicherweise kritische Exe-Dateien austauschen. Dies könnte dann als Basis für weitere Angriffe dienen. Das Archiv müsste allerdings zuvor vom Nutzer entpackt werden.

Der Fehler soll in Googles Cloud-Plattform, in Oracles Softwaresuite, in Amazons Codepipeline, bei IBMs Datapower-System sowie bei Alibaba Jstorm und Twitter Heron vorkommen. Diese Liste ist nach Angaben von Snyk aber nicht abschließend. "Der Fehler betrifft Tausende Projekte in verschiedenen Ökosystemen, tritt aber besonders häufig in Java-Implementierungen auf", heißt es in der Sicherheitswarnung. Denn Java biete anders als andere Umgebungen keine zentrale Bibliothek zum Umgang mit Archiven an, daher müsste diese Fähigkeit als Komponenten nachgereicht werden.

Bibliotheken in Python und Ruby sind demnach nicht betroffen, bei Microsofts .Net ist nur NuGet's DotNetZip verwundbar. Die Kernbibliothek von .Net weist keine Probleme auf. Oracle hat seine java.util.zip bereits auf den aktuellen Stand gebracht, auch Apaches commons-compress ist gepatcht (Version 1.17). Im Javascript Paketmanager NPM wurden die Pakete Unzipper und Adm-zip ebenfalls mit Updates versorgt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

ldlx 09. Jun 2018

Für 9.20 gabs ein Update vom Hersteller eines Mail-Gateways (Trustwave MailMarshal) wegen...

pinki 08. Jun 2018

Was soll das sein? Eine Datei, in der Daten im JSON-Format stehen, die man dann auch im...

FreiGeistler 07. Jun 2018

Irgendwas zipen. Zip im Hex-Editor öffnen, etwas das nach einem Pfad aussieht finden...

FreiGeistler 07. Jun 2018

Nein, da die Dateien ja hierarchisch ausserhalb der zip liegen. Ich nehme an...

derdiedas 06. Jun 2018

und ist eigentlich das fundamentale Probleme heutiger IT. Emmergenz bedeutet vereinfacht...


Folgen Sie uns
       


    •  /