重要情報: 1. Zip Slip バグの定義と影響: - Zip Slip は一般的な任意ファイル上書き脆弱性であり、通常はリモートコマンド実行(RCE)を招きます。 - 2018年6月5日に Snyk セキュリティチームによって発見され、責任を持って開示されました。HP、Amazon、Apache、Pivotal などのプロジェクトを含む数千个项目に影響を与えました。 - この脆弱性は JavaScript、Ruby、.NET、Go などの複数のエコシステムで発見されましたが、Java では特に一般的でした。これは、Java がアーカイブファイル(zip など)を高度に処理するためのライブラリを提供しなかったためです。 2. 脆弱性の悪用: - 悪用には、ディレクトリトラバーサルのファイル名(例: )を含む特殊に構成されたアーカイブが必要です。 - この脆弱性は tar、jar、war、cpio、apk、rar、7z などの様々なアーカイブフォーマットに影響を及ぼす可能性があります。 - 技術白書をダウンロードする場合は、ページ上のボタンをクリックしてください。 3. 脆弱性の悪用手順: - この脆弱性を悪用するには、検証チェックを実行しない悪意のあるアーカイブと抽出コードが必要です。 - 第一に、解凍時にターゲットディレクトリから脱出するファイルを 1 つ以上準備する必要があります。 - 第二に、解凍時にファイルパスに対して必要なディレクトリトラバーサル検証を行わないアーカイブを抽出するツールまたはライブラリが必要です。 4. 影響を受けるプロジェクト: - Snyk は、すべての既知の Zip Slip 脆弱性影響プロジェクト(修正日とバージョンを含む)をリストした GitHub リポジトリを維持しています。 - 影響を受けるプロジェクトには、Oracle、Amazon、Spring/Pivotal、LinkedIn、Twitter、Alibaba、Jenkins、Eclipse、OWASP、SonarQube、OpenTable、Arduino、ElasticSearch、Selenium、JetBrains、Google が含まれます。 5. 推奨アクション: - プロジェクトの依存関係のコードに Zip Slip 脆弱性が含まれていないか確認してください。 - Zip Slip セキュリティテストをアプリケーションのビルドパイプラインに統合してください。 - Snyk または他の依存関係バグスキャニングツールを使用して、脆弱性の影響を受けるライブラリが使用されているかどうかを判断してください。 6. 謝辞: - Snyk セキュリティチームは、意識向上、脆弱性の発見と修正に関与したベンダー、プロジェクト所有者、コミュニティメンバーに感謝します。