ニュース
Zipなどのアーカイブ展開処理を突いた脆弱性「Zip Slip」
~任意のコードを実行可能
2018年6月6日 18:06
セキュリティ企業のSynkは5日、Zipなどアーカイブファイルの展開処理に存在する脆弱性「Zip Slip」を報告した。
Zip Slipは、いわゆる「ディレクトリトラバーサル攻撃」の一種で、特定の文字列を含んだファイル名のファイルをアーカイブファイルにいれて処理させることで、Webアプリケーションの権限で特定の場所にファイルを配置できるというもの。
この脆弱性を悪用することで、実行ファイルの上書きや、設定ファイルの書き換えが可能となり、結果としてリモートから任意のコードを実行される恐れがあるという。
Synkによれば、JavaScriptやRuby、.NET、Goといった複数のエコシステムが脆弱性を抱えており、とくにJavaでは、アーカイブファイルの高レベル処理を行なう標準ライブラリが存在しないため、脆弱なコードスニペットがWebなどで共有されており影響が大きいとの見解を示している。
この脆弱性は、zipのほかにもtar/jar/war/cpio/apk/rar/7zなどのアーカイブ形式に影響を与える恐れがあるとしている。
現在、脆弱性の影響を受けるライブラリやソフトウェア製品などで、順次対策アップデートが提供されており、アップデート情報の有無に注意されたい。
コンピュータセキュリティインシデントの情報収集や発信を行なっている一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)でも、本件について情報の提供を求めている。
楽天市場 売れ筋ランキング
Amazon売れ筋ランキング
Anker Soundcore P40i (Bluetooth 5.3) 【完全ワイヤレスイヤホン/ウルトラノイズキャンセリング 2.0 / マルチポイント接続 / 最大60時間再生 / PSE技術基準適合】ブラック
¥7,990
Anker Soundcore Life P2 Mini【完全ワイヤレスイヤホン / Bluetooth5.3対応 / IPX5防水規格 / 最大32時間音楽再生 / 専用アプリ対応】ブラック
¥4,490
イヤホン bluetooth ワイヤレスイヤホン 48時間の再生時間 重低音 LEDディスプレイ表示 小型/軽量 IPX7防水 ブルートゥース 接続瞬時 Hi-Fi ブルートゥースイヤホン Type-C 急速充電 ぶるーとぅーすイヤホン iPhone/Android/Pad適用 スポーツ/通勤/通学/WEB会議 (ホワイト)
¥39,999
Anker Soundcore Liberty 4(Bluetooth 5.3)【完全ワイヤレスイヤホン/ウルトラノイズキャンセリング 2.0 / 3Dオーディオ / ワイヤレス充電/マルチポイント接続/外音取り込み / 最大28時間再生 / ハイレゾ / IPX4防水規格 / ヘルスモニタリング/PSE技術基準適合】ミッドナイトブラック
¥14,990
Apple AirPods Pro 2 + 延長2年 AppleCare+ for Headphones - AirPods Pro
¥42,792
GBAD (Number_i Remix) [Explicit]
¥250
もうどうなってもいいや
¥250
もうどうなってもいいや
¥250
GBAD (Number_i Remix) [Explicit]
¥250
TWILIGHT!!!
¥250
by Amazon 天然水 ラベルレス 500ml ×24本 富士山の天然水 バナジウム含有 水 ミネラルウォーター ペットボトル 静岡県産 500ミリリットル (Smart Basic)
¥1,173
い・ろ・は・すラベルレス 2LPET ×8本 【Amazon.co.jp限定】
¥1,104
コカ・コーラ い・ろ・は・す天然水ラベルレス 560ml ×24本
¥2,131
by Amazon 炭酸水 ラベルレス 500ml ×24本 強炭酸水 ペットボトル 500ミリリットル (Smart Basic)
¥1,512
キリン 自然が磨いた天然水 ラベルレス 水 2リットル 9本 国産 天然水 ミネラルウォーター ペットボトル 軟水
¥2,722