Zipなどのアーカイブ展開処理を突いた脆弱性「Zip Slip」

　セキュリティ企業のSynkは5日、Zipなどアーカイブファイルの展開処理に存在する脆弱性「Zip Slip」を報告した。

　Zip Slipは、いわゆる「ディレクトリトラバーサル攻撃」の一種で、特定の文字列を含んだファイル名のファイルをアーカイブファイルにいれて処理させることで、Webアプリケーションの権限で特定の場所にファイルを配置できるというもの。

　この脆弱性を悪用することで、実行ファイルの上書きや、設定ファイルの書き換えが可能となり、結果としてリモートから任意のコードを実行される恐れがあるという。

　Synkによれば、JavaScriptやRuby、.NET、Goといった複数のエコシステムが脆弱性を抱えており、とくにJavaでは、アーカイブファイルの高レベル処理を行なう標準ライブラリが存在しないため、脆弱なコードスニペットがWebなどで共有されており影響が大きいとの見解を示している。

　この脆弱性は、zipのほかにもtar/jar/war/cpio/apk/rar/7zなどのアーカイブ形式に影響を与える恐れがあるとしている。

　現在、脆弱性の影響を受けるライブラリやソフトウェア製品などで、順次対策アップデートが提供されており、アップデート情報の有無に注意されたい。

　コンピュータセキュリティインシデントの情報収集や発信を行なっている一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)でも、本件について情報の提供を求めている。