{"id":205123,"date":"2018-06-06T16:18:07","date_gmt":"2018-06-06T14:18:07","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=205123"},"modified":"2018-06-07T13:09:21","modified_gmt":"2018-06-07T11:09:21","slug":"sicherheitslcke-zip-slip-aufgedeckt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/06\/06\/sicherheitslcke-zip-slip-aufgedeckt\/","title":{"rendered":"Sicherheitslücke Zip Slip aufgedeckt"},"content":{"rendered":"

Die n\u00e4chste Sicherheitsl\u00fccke mit dem Namen 'Zip Slip' wurde gerade von Sicherheitsforschern aufgedeckt. Die Schwachstelle findet sich in vielen Open Source-Projekten, von JAVA bis hin zu Packprogrammen. Selbst .NET oder JavaScript sind betroffen und als Anwender kommt man nicht daran vorbei. Hier einige Informationen samt Einsch\u00e4tzungen eines Infosec-Sicherheitsforschers.<\/p>\n

<\/p>\n

Zip Slip aufgedeckt<\/h2>\n

\"\"Ich hatte es auf Twitter, u.a. von Jake Williams<\/a> gelesen<\/a>. Die Sicherheitsl\u00fccke wurde hier<\/a> vom Snyk-Sicherheitsteam zum 5. Juni 2018 offen gelegt. Zip Slip erm\u00f6glicht es willk\u00fcrlich Dateien zu \u00fcberschreiben. Da dies zu einer Remote Code-Ausf\u00fchrung f\u00fchren kann (z.B. wenn eine kompromittierte Archivdatei entpackt wird), wird diese Schwachstelle als kritisch eingestuft.<\/p>\n

Tausende an Projekten \u00fcber Packer-Bibliotheken betroffen<\/h2>\n

Die Sicherheitsl\u00fccke betrifft Tausende von Projekten, darunter Projekte von HP, Amazon, Apache, Pivotal und vielen anderen, die sich verwundbarer Bibliotheken zum Packen bedienen. Betroffen sind auch Eco-Systeme wie JavaScript, Ruby, .NET und Go, sowie das bereits erw\u00e4hnt Java. Bei .NET ist wohl nur die NuGet DotNetZip betroffen (Microsofts .NET-Frameworks sind nach bisherigem Wissen sicher). Bei JAVA hat Oracle die betroffene Datei java.util.zip aktualisiert. Es scheint, als ob viele Software-Entwickler z\u00fcgig reagieren.<\/p>\n

Die CVEs und eine vollst\u00e4ndige Liste der betroffenen Projekte gibt es hier<\/a>. Zwar gab es diese Art von Verwundbarkeit schon fr\u00fcher. Aber in letzter Zeit hat sich das Problem in einer viel gr\u00f6\u00dferen Anzahl von Projekten und Bibliotheken manifestiert. Hintergrund ist, dass viele Entwickler auf die Verwendung handcodierter Entpackroutinen verzichten und eher auf Packer-Bibliotheken setzen. Enth\u00e4lt eine Bibliothek einen Fehler, sind gleich zig Projekte betroffen.<\/p>\n

Sicherheitsl\u00fccke beim Entpacken ausnutzbar<\/h2>\n

Die Sicherheitsl\u00fccke ist mit Hilfe eines speziell erstellten Archivs ausnutzbar. Dazu muss das zu entpackende Archiv Verzeichnis-Traversal-Dateinamen enthalten (z.B. ..\/..\/evil.sh). Das f\u00fchrt dann dazu, dass der Entpacker aus dem Tritt kommt und dazu gebracht werden kann, andere (System-)Dateien zu \u00fcberschreiben. Zum \u00dcberschreiben von Systemdateien sind nat\u00fcrlich entsprechende Privilegien erforderlich. Hier muss man halt schauen, ob und wann Entpacker diese Privilegien haben (unter Windows kann man das verhindern, auf Webservern k\u00f6nnte das aber zum Problem werden).<\/p>\n

Eine Remote-Code-Ausf\u00fchrung wird so m\u00f6glich. In einem White-Paper<\/a> wird die Sicherheitsl\u00fccke detaillierter beschrieben. Und auf GitHub<\/a> gibt es vorbereitete Archive, die die Schwachstelle ausnutzen und f\u00fcr Testzwecke verwendet werden k\u00f6nnen. Die Zip-Slip-Schwachstelle kann zahlreiche Archivformate betreffen, darunter tar, jar, war, cpio, apk, rar und 7z.<\/p>\n

Gegenma\u00dfnahmen? Schwierig<\/h2>\n

Aktuell gibt es (f\u00fcr Endanwender) keine Gegenma\u00dfnahme, au\u00dfer darauf zu hoffen, dass die Entwickler auf nicht angreifbare Bibliotheken in Softwareprojekten zu setzen.Sobald die Entwickler angreifbare Bibliotheken aktualisiert haben, ist das Problem durch Aktualisierung der betreffenden Anwendung gel\u00f6st.\u00a0Jake Williams<\/a> gibt folgende Empfehlungen bzw. Hinweise:<\/p>\n