サイバーインシデントがなくなるその日まで

JPCERT Coordination Center

アーカイブファイルの展開処理における脆弱性「Zip Slip」について

最終更新: 2018-06-06

2018年6月5日 (米国時間)、Snyk セキュリティチーム から、Zip などのアーカイブファイルの展開処理における脆弱性「Zip Slip」に関する情報が公開されました。

Snyk
Zip Slip Vulnerability
https://snyk.io/research/zip-slip-vulnerability

Snyk セキュリティチームによると、ファイル名に特定の文字列を含んだファイル (../../ファイル名) をアーカイブファイルにいれて処理させることで、Web アプリケーションの権限で特定の場所にファイルを置くことができることが言及されています。攻撃者がこの方法を悪用することで、実行ファイルの上書きを行ったり、設定ファイルの書き換えを行ったりすることが可能となり、結果として、リモートから任意のコードを実行される恐れがあります。

現在、本脆弱性の影響を受けるライブラリやソフトウエアなどの製品において、脆弱性は順次修正されております。修正状況については、各製品の開発者からの情報にご注意ください。また、Snyk セキュリティチームの GitHub 上でも修正状況の一覧が管理されていますので、そちらもあわせてご確認ください。

GitHub
zip-slip-vulnerability
https://github.com/snyk/zip-slip-vulnerability

今回の件について、提供いただける情報がありましたら、JPCERT/CC までご連絡ください。今後、一定の情報収集と分析が整った段階で注意喚起を発行する場合がございます。

早期警戒グループ
メールアドレス : ww-info@jpcert.or.jp

Topへ

コラム&ブログ

おすすめ情報