10
Nächster Alarm: die Sicherheitslücke Zip Slip wurde aufgedeckt
Vor wenigen Stunden haben Sicherheitsforscher eine Sicherheitslücke mit dem Namen Zip Slip aufgedeckt. Diese hat das Potential, so gut wie jede Software zu treffen.
Die Sicherheitslücke steckt in der Implementierung von Pack-Algorithmen in breit eingesetzten Bibliotheken. Werden präparierte Archivdateien mit traversalen Datenpfaden verwendet, laufen die Algorithmen der Pack-Bibliotheken 'in den Wald'. Das führt dazu, dass unberechtigter Weise (System-) Dateien überschrieben werden können - und so am Ende des Tages Remote Code Execution-Angriffe ermöglicht werden.
Was mich an Meltdown und die Spectre-Varianten erinnert: Es sind so gut wie alle Eco-Systeme, von .NET über JAVA bis hin zu JavaScript (alle benutzen Packbibliotheken) tangiert - und tausende an Software-Projekten setzen kompromittierbare Bibiotheken ein. Informationen, dass das ausgenutzt wird, gibt es noch nicht.
Ich habe ein paar Informationen und eine erste Einschätzung (eines Sicherheitsforschers), was Administatoren wissen sollten, im Blog-Beitrag Sicherheitslücke Zip Slip aufgedeckt zusammen getragen. Vielleicht hilft es beim Sortieren.
Der Hintergrund
Die Sicherheitslücke steckt in der Implementierung von Pack-Algorithmen in breit eingesetzten Bibliotheken. Werden präparierte Archivdateien mit traversalen Datenpfaden verwendet, laufen die Algorithmen der Pack-Bibliotheken 'in den Wald'. Das führt dazu, dass unberechtigter Weise (System-) Dateien überschrieben werden können - und so am Ende des Tages Remote Code Execution-Angriffe ermöglicht werden.
Fast alles betroffen
Was mich an Meltdown und die Spectre-Varianten erinnert: Es sind so gut wie alle Eco-Systeme, von .NET über JAVA bis hin zu JavaScript (alle benutzen Packbibliotheken) tangiert - und tausende an Software-Projekten setzen kompromittierbare Bibiotheken ein. Informationen, dass das ausgenutzt wird, gibt es noch nicht.Ich habe ein paar Informationen und eine erste Einschätzung (eines Sicherheitsforschers), was Administatoren wissen sollten, im Blog-Beitrag Sicherheitslücke Zip Slip aufgedeckt zusammen getragen. Vielleicht hilft es beim Sortieren.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 376169
Url: https://administrator.de/contentid/376169
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
10 Kommentare
Neuester Kommentar
Moin,
sorry aber 3 Punkte fallen auf:
1. du schreibst reißerischer, wie z.B. Heise
2. dein Artikel scheint zwar länger wie der von Heise - ist allerdings genau so oberflächlich
3. dein letzter Absatz im Blog versucht mal wieder Weltuntergangsstimmung heraufzubeschwören.
eigentlich schade.
Gruß
sorry aber 3 Punkte fallen auf:
1. du schreibst reißerischer, wie z.B. Heise
2. dein Artikel scheint zwar länger wie der von Heise - ist allerdings genau so oberflächlich
3. dein letzter Absatz im Blog versucht mal wieder Weltuntergangsstimmung heraufzubeschwören.
eigentlich schade.
Gruß
1
Gerade getestet mit den Beispiel-Archiven von Github aus deinem Blogpost und 7zip als Entpacker. Die "evil" Datei aus dem Archiv taucht im Viewer nicht auf, beim Entpacken wird sie dann aber in's korrekte Verzeichnis entpackt. Anscheinend werden bei 7zip also die relativen Pfadangaben ignoriert bzw. validiert.
1
Guten Tag,
naja die meisten dürften 7-Zip benutzen. Das Problem wäre allerdings die Zip Schnittstelle in Windows da 7-Zip ua. auch nicht als Standard Packer eingestellt wird werden die meisten es doch oft nutzen.
naja die meisten dürften 7-Zip benutzen. Das Problem wäre allerdings die Zip Schnittstelle in Windows da 7-Zip ua. auch nicht als Standard Packer eingestellt wird werden die meisten es doch oft nutzen.
Solange nicht auch die Kommentar so sind wie bei Heise.. Dann muß ich leider flüchten 
Danke für die Ergänzung.
Das Problem auf den lokalen Windows-Maschinen dürfte man über die Auswahl der ZIP-Programme in den Griff kriegen (und einfach ein paar Tage keine Archive aus obskuren Quellen entpacken).
Kritischer sind Online-Angebote, wo komprimierte Inhalte hochgeladen und dann entpackt werden. Und die ganzen Produkte, wo verwundbare Packbibliotheken eingebunden sind.
@Kraemer: Der Post sollte auch nur eine Information sein - bin da wohl anders sozialisiert worden als die heute Generation (zig Jahre in der Großchemie - da war es wichtig, die Info überhaupt auf den Tisch zu bekommen - man hat selbst geschaut, ob es relevant war und dann recherchiert). Die Original-Artikel sind verlinkt, kann also jeder bei Bedarf in die Tiefe gehen. Als Blogger muss ich nicht euren Admin-Job machen - höchstens meine eigene Infrastruktur diesbezüglich absichern
Das Problem auf den lokalen Windows-Maschinen dürfte man über die Auswahl der ZIP-Programme in den Griff kriegen (und einfach ein paar Tage keine Archive aus obskuren Quellen entpacken).
Kritischer sind Online-Angebote, wo komprimierte Inhalte hochgeladen und dann entpackt werden. Und die ganzen Produkte, wo verwundbare Packbibliotheken eingebunden sind.
@Kraemer: Der Post sollte auch nur eine Information sein - bin da wohl anders sozialisiert worden als die heute Generation (zig Jahre in der Großchemie - da war es wichtig, die Info überhaupt auf den Tisch zu bekommen - man hat selbst geschaut, ob es relevant war und dann recherchiert). Die Original-Artikel sind verlinkt, kann also jeder bei Bedarf in die Tiefe gehen. Als Blogger muss ich nicht euren Admin-Job machen - höchstens meine eigene Infrastruktur diesbezüglich absichern
@kgborn lies dir mal beispielsweise den Artikel von Golem.de zu dem Thema durch. So in etwa hat das auszusehen!
Wenn du keinen Mehrwert zu vorhandenen Artikeln oder Informationen liefern kannst, dann reicht es völlig, darauf zu verweisen. Fürs Halbwahrheiten verbreiten ist der Springer-Verlag zuständig.
Wenn du keinen Mehrwert zu vorhandenen Artikeln oder Informationen liefern kannst, dann reicht es völlig, darauf zu verweisen. Fürs Halbwahrheiten verbreiten ist der Springer-Verlag zuständig.
3
Also, 7-Zip scheint doch Betroffen.
Allerdings der Packer in Windows 8.1 Ignoriert es.
Allerdings der Packer in Windows 8.1 Ignoriert es.
Mein "altes" 7-zip von 2016 zeigt korrekt den Inhalt an, inklusive der Datei "evil.txt". Ich sehe also vorher das die Datei unter Umständen mit relativen Pfaden entpackt wird.
Lustiger finde ich eher, das es beim Entpacken falsch entpackt wird. Wenn ich z.B.: alles nach D:\TEMP\TEST\ entpacken lande habe ich dann:
D:\TEMP\TEST\good.txt und
D:\TEMP\TEST\tmp\evil.txt statt D:\tmp\evil.txt
Also BUG statt Sicherheitslücke (imho).
Windows-10 (Datei-) Explorer ignoriert die Datei "evil.txt" komplett, was ich eher als schwerwiegenden BUG bezeichnen würde. Vermutlich weil ".." als Folder-Up ignoriert wird. Obwohl in der Windows-Shell (CMD) funktioniert ja ein "cd ../.." auch wie es soll.
Von daher sehe ich kein Problem auf den normalen Systemen. Unter BSD/Linux scheitert es an den Benutzerrechten, sei den man ist den ganzen Tag mit Super-Kuh Rechten unterwegs. Ansonsten müsste man böse Dateien nach dem Entpacken erstmal Ausführbar machen. Da gibts ganz wenige Angriffsvektoren die ich mir vorstellen könnte, wie ein "sudo" alias in der ~/.bashrc die dann zusätzlich einen bösen Befehl mit ausführt.
Also ausser bei schlecht konfigurierten Webservern erkenne ich kein wirkliches Problem. Und wenn man sich mal:
https://github.com/snyk/zip-slip-vulnerability
anschaut, geht es ja auch eher um LIBs von Java, Ruby, Go und Co.
Lustiger finde ich eher, das es beim Entpacken falsch entpackt wird. Wenn ich z.B.: alles nach D:\TEMP\TEST\ entpacken lande habe ich dann:
D:\TEMP\TEST\good.txt und
D:\TEMP\TEST\tmp\evil.txt statt D:\tmp\evil.txt
Also BUG statt Sicherheitslücke (imho).
Windows-10 (Datei-) Explorer ignoriert die Datei "evil.txt" komplett, was ich eher als schwerwiegenden BUG bezeichnen würde. Vermutlich weil ".." als Folder-Up ignoriert wird. Obwohl in der Windows-Shell (CMD) funktioniert ja ein "cd ../.." auch wie es soll.
Von daher sehe ich kein Problem auf den normalen Systemen. Unter BSD/Linux scheitert es an den Benutzerrechten, sei den man ist den ganzen Tag mit Super-Kuh Rechten unterwegs. Ansonsten müsste man böse Dateien nach dem Entpacken erstmal Ausführbar machen. Da gibts ganz wenige Angriffsvektoren die ich mir vorstellen könnte, wie ein "sudo" alias in der ~/.bashrc die dann zusätzlich einen bösen Befehl mit ausführt.
Also ausser bei schlecht konfigurierten Webservern erkenne ich kein wirkliches Problem. Und wenn man sich mal:
https://github.com/snyk/zip-slip-vulnerability
anschaut, geht es ja auch eher um LIBs von Java, Ruby, Go und Co.
Hallo,
Fuer eine Information waeren die orginalen Links in der Information hier wesenlich hilfreicher wie erst auf Deinen Blog zu gehen und sich dort muehsam Selbiges zusammen zu kratzen.
Ich mag eigentlich den Stil wie Du manche Sachen an die lesekundige Bevoelkerung rueber wachsen laesst, aber es kommt mir jedesmal im Hinterkopf der Gedanke hoch, dass Du hier postet um Leute auf Deinen Blog zu locken.
Ok, ist noch Freitag?
Schoenes WE!
BFF
Der Post sollte auch nur eine Information sein
Fuer eine Information waeren die orginalen Links in der Information hier wesenlich hilfreicher wie erst auf Deinen Blog zu gehen und sich dort muehsam Selbiges zusammen zu kratzen.
Ich mag eigentlich den Stil wie Du manche Sachen an die lesekundige Bevoelkerung rueber wachsen laesst, aber es kommt mir jedesmal im Hinterkopf der Gedanke hoch, dass Du hier postet um Leute auf Deinen Blog zu locken.
Ok, ist noch Freitag?
Schoenes WE!
BFF
@BassFishFox: Ok, das musste irgendwo so kommen - habe ich lange erwartet.
Den Zahn kann ich euch aber ziehen. Der Hintergrund, warum ich hier eine Zeit lang gepostet habe: Im Januar 2018 war eine Kooperation zwischen Frank (dem Betreiber) und meinem Blog angedacht (ging nicht von mir aus). Hat sich aber (nicht aus inhaltlichen oder atmosphärischen Gründen) zerschlagen und ich habe es auslaufen lassen.
Wer es genauer verfolgt, wird bemerkt haben, dass die Frequenz meiner Postings hier nach Februar deutlich gegen 0 strebte und ich wieder meine Zeit auf die eigenen Blogs fokussiere. Der obige Post war schlicht so etwas wie Nostalgie - tue der Site was gutes, ohne viel Arbeit rein zu stecken (wasch mir den Pelz, aber mache mich nicht nass, war retroperspektiv ein Fehler und ich hätte es sein lassen sollen). Habe aber die Diskussionen hier zum Anlass genommen, die Postings bei admin.de künftig einzustellen - oder werde es auf wenige Sonderfälle beschränken (es sei denn, es gibt irgendwann wieder eine Vereinbarung mit Frank).
Und zum Thema: 'in deinen Blog locken' nur so viel. Wenn ich einen englischsprachigen Blog-Post erstelle und den in der G+ Community von Microsoft oder in einer FB-Gruppe poste, kommen da wesentlich mehr Besucher in die Blogs als zu Zeiten, wo ich hier gepostet habe. Und das beschränkt sich dann auf Link und ein paar Wortfetzen einstellen (quasi Null Arbeit).
Damit soll es gut sein - originäres Ziel war es, auf einen Sachverhalt hinzuweisen. Ist nicht so wie geplant angekommen - ok, über die Form der Art Original-Links direkt einstellen, mag man diskutieren, sei es drum - die Erklärung steckt im obigen Text. Dass sich jetzt die Diskussion in mehreren Postings im Thread um Nebenkriegsschauplätze dreht, bringt keinen weiter. Also lasst uns dieses Fass hier zu machen. Wer die Beiträge von mir mag, kommt in den Blogs vorbei, wer es für Gefasel hält, lässt es halt bleiben - plain und easy, als Blogger stelle ich mich eh täglich den Leuten zur Abstimmung mit den Füßen. Und für die geneigten Leser hat der Post hier die Hintergründe erläutert. Ich denke, Frank wird es ähnlich sehen. In diesem Sinne.
PS: Ich lasse die Kommentare noch offen, vielleicht kommt zum eigentlichen Thema Zip Slip noch was rum.
Den Zahn kann ich euch aber ziehen. Der Hintergrund, warum ich hier eine Zeit lang gepostet habe: Im Januar 2018 war eine Kooperation zwischen Frank (dem Betreiber) und meinem Blog angedacht (ging nicht von mir aus). Hat sich aber (nicht aus inhaltlichen oder atmosphärischen Gründen) zerschlagen und ich habe es auslaufen lassen.
Wer es genauer verfolgt, wird bemerkt haben, dass die Frequenz meiner Postings hier nach Februar deutlich gegen 0 strebte und ich wieder meine Zeit auf die eigenen Blogs fokussiere. Der obige Post war schlicht so etwas wie Nostalgie - tue der Site was gutes, ohne viel Arbeit rein zu stecken (wasch mir den Pelz, aber mache mich nicht nass, war retroperspektiv ein Fehler und ich hätte es sein lassen sollen). Habe aber die Diskussionen hier zum Anlass genommen, die Postings bei admin.de künftig einzustellen - oder werde es auf wenige Sonderfälle beschränken (es sei denn, es gibt irgendwann wieder eine Vereinbarung mit Frank).
Und zum Thema: 'in deinen Blog locken' nur so viel. Wenn ich einen englischsprachigen Blog-Post erstelle und den in der G+ Community von Microsoft oder in einer FB-Gruppe poste, kommen da wesentlich mehr Besucher in die Blogs als zu Zeiten, wo ich hier gepostet habe. Und das beschränkt sich dann auf Link und ein paar Wortfetzen einstellen (quasi Null Arbeit).
Damit soll es gut sein - originäres Ziel war es, auf einen Sachverhalt hinzuweisen. Ist nicht so wie geplant angekommen - ok, über die Form der Art Original-Links direkt einstellen, mag man diskutieren, sei es drum - die Erklärung steckt im obigen Text. Dass sich jetzt die Diskussion in mehreren Postings im Thread um Nebenkriegsschauplätze dreht, bringt keinen weiter. Also lasst uns dieses Fass hier zu machen. Wer die Beiträge von mir mag, kommt in den Blogs vorbei, wer es für Gefasel hält, lässt es halt bleiben - plain und easy, als Blogger stelle ich mich eh täglich den Leuten zur Abstimmung mit den Füßen. Und für die geneigten Leser hat der Post hier die Hintergründe erläutert. Ich denke, Frank wird es ähnlich sehen. In diesem Sinne.
PS: Ich lasse die Kommentare noch offen, vielleicht kommt zum eigentlichen Thema Zip Slip noch was rum.
