kgborn
Goto Top

Nächster Alarm: die Sicherheitslücke Zip Slip wurde aufgedeckt

Vor wenigen Stunden haben Sicherheitsforscher eine Sicherheitslücke mit dem Namen Zip Slip aufgedeckt. Diese hat das Potential, so gut wie jede Software zu treffen.

back-to-topDer Hintergrund


Die Sicherheitslücke steckt in der Implementierung von Pack-Algorithmen in breit eingesetzten Bibliotheken. Werden präparierte Archivdateien mit traversalen Datenpfaden verwendet, laufen die Algorithmen der Pack-Bibliotheken 'in den Wald'. Das führt dazu, dass unberechtigter Weise (System-) Dateien überschrieben werden können - und so am Ende des Tages Remote Code Execution-Angriffe ermöglicht werden.

back-to-topFast alles betroffen

Was mich an Meltdown und die Spectre-Varianten erinnert: Es sind so gut wie alle Eco-Systeme, von .NET über JAVA bis hin zu JavaScript (alle benutzen Packbibliotheken) tangiert - und tausende an Software-Projekten setzen kompromittierbare Bibiotheken ein. Informationen, dass das ausgenutzt wird, gibt es noch nicht.

Ich habe ein paar Informationen und eine erste Einschätzung (eines Sicherheitsforschers), was Administatoren wissen sollten, im Blog-Beitrag Sicherheitslücke Zip Slip aufgedeckt zusammen getragen. Vielleicht hilft es beim Sortieren.

Content-ID: 376169

Url: https://administrator.de/contentid/376169

Ausgedruckt am: 22.11.2024 um 00:11 Uhr

Kraemer
Kraemer 06.06.2018 um 20:42:26 Uhr
Goto Top
Moin,

sorry aber 3 Punkte fallen auf:
1. du schreibst reißerischer, wie z.B. Heise
2. dein Artikel scheint zwar länger wie der von Heise - ist allerdings genau so oberflächlich
3. dein letzter Absatz im Blog versucht mal wieder Weltuntergangsstimmung heraufzubeschwören.

eigentlich schade.

Gruß
jan.xb
jan.xb 07.06.2018 um 08:32:14 Uhr
Goto Top
Gerade getestet mit den Beispiel-Archiven von Github aus deinem Blogpost und 7zip als Entpacker. Die "evil" Datei aus dem Archiv taucht im Viewer nicht auf, beim Entpacken wird sie dann aber in's korrekte Verzeichnis entpackt. Anscheinend werden bei 7zip also die relativen Pfadangaben ignoriert bzw. validiert.
umount
umount 07.06.2018 um 10:06:05 Uhr
Goto Top
Guten Tag,

naja die meisten dürften 7-Zip benutzen. Das Problem wäre allerdings die Zip Schnittstelle in Windows da 7-Zip ua. auch nicht als Standard Packer eingestellt wird werden die meisten es doch oft nutzen.
wolfble
wolfble 07.06.2018 aktualisiert um 10:13:18 Uhr
Goto Top
Solange nicht auch die Kommentar so sind wie bei Heise.. Dann muß ich leider flüchten face-smile
kgborn
kgborn 07.06.2018 um 10:16:37 Uhr
Goto Top
Danke für die Ergänzung.

Das Problem auf den lokalen Windows-Maschinen dürfte man über die Auswahl der ZIP-Programme in den Griff kriegen (und einfach ein paar Tage keine Archive aus obskuren Quellen entpacken).

Kritischer sind Online-Angebote, wo komprimierte Inhalte hochgeladen und dann entpackt werden. Und die ganzen Produkte, wo verwundbare Packbibliotheken eingebunden sind.

@Kraemer: Der Post sollte auch nur eine Information sein - bin da wohl anders sozialisiert worden als die heute Generation (zig Jahre in der Großchemie - da war es wichtig, die Info überhaupt auf den Tisch zu bekommen - man hat selbst geschaut, ob es relevant war und dann recherchiert). Die Original-Artikel sind verlinkt, kann also jeder bei Bedarf in die Tiefe gehen. Als Blogger muss ich nicht euren Admin-Job machen - höchstens meine eigene Infrastruktur diesbezüglich absichern face-wink
Kraemer
Kraemer 07.06.2018 um 12:06:57 Uhr
Goto Top
@kgborn lies dir mal beispielsweise den Artikel von Golem.de zu dem Thema durch. So in etwa hat das auszusehen!
Wenn du keinen Mehrwert zu vorhandenen Artikeln oder Informationen liefern kannst, dann reicht es völlig, darauf zu verweisen. Fürs Halbwahrheiten verbreiten ist der Springer-Verlag zuständig.
umount
umount 07.06.2018 um 14:23:50 Uhr
Goto Top
Also, 7-Zip scheint doch Betroffen.

Allerdings der Packer in Windows 8.1 Ignoriert es.
test
YveIce
YveIce 08.06.2018 um 16:32:24 Uhr
Goto Top
Mein "altes" 7-zip von 2016 zeigt korrekt den Inhalt an, inklusive der Datei "evil.txt". Ich sehe also vorher das die Datei unter Umständen mit relativen Pfaden entpackt wird.

Lustiger finde ich eher, das es beim Entpacken falsch entpackt wird. Wenn ich z.B.: alles nach D:\TEMP\TEST\ entpacken lande habe ich dann:
D:\TEMP\TEST\good.txt und
D:\TEMP\TEST\tmp\evil.txt statt D:\tmp\evil.txt
Also BUG statt Sicherheitslücke (imho).

Windows-10 (Datei-) Explorer ignoriert die Datei "evil.txt" komplett, was ich eher als schwerwiegenden BUG bezeichnen würde. Vermutlich weil ".." als Folder-Up ignoriert wird. Obwohl in der Windows-Shell (CMD) funktioniert ja ein "cd ../.." auch wie es soll.

Von daher sehe ich kein Problem auf den normalen Systemen. Unter BSD/Linux scheitert es an den Benutzerrechten, sei den man ist den ganzen Tag mit Super-Kuh Rechten unterwegs. Ansonsten müsste man böse Dateien nach dem Entpacken erstmal Ausführbar machen. Da gibts ganz wenige Angriffsvektoren die ich mir vorstellen könnte, wie ein "sudo" alias in der ~/.bashrc die dann zusätzlich einen bösen Befehl mit ausführt.

Also ausser bei schlecht konfigurierten Webservern erkenne ich kein wirkliches Problem. Und wenn man sich mal:
https://github.com/snyk/zip-slip-vulnerability
anschaut, geht es ja auch eher um LIBs von Java, Ruby, Go und Co.
zipleak
BassFishFox
BassFishFox 08.06.2018 aktualisiert um 22:25:59 Uhr
Goto Top
Hallo,

Der Post sollte auch nur eine Information sein

Fuer eine Information waeren die orginalen Links in der Information hier wesenlich hilfreicher wie erst auf Deinen Blog zu gehen und sich dort muehsam Selbiges zusammen zu kratzen. face-wink

Ich mag eigentlich den Stil wie Du manche Sachen an die lesekundige Bevoelkerung rueber wachsen laesst, aber es kommt mir jedesmal im Hinterkopf der Gedanke hoch, dass Du hier postet um Leute auf Deinen Blog zu locken.

Ok, ist noch Freitag?

Schoenes WE!
BFF
kgborn
kgborn 09.06.2018 aktualisiert um 13:15:11 Uhr
Goto Top
@BassFishFox: Ok, das musste irgendwo so kommen - habe ich lange erwartet.

Den Zahn kann ich euch aber ziehen. Der Hintergrund, warum ich hier eine Zeit lang gepostet habe: Im Januar 2018 war eine Kooperation zwischen Frank (dem Betreiber) und meinem Blog angedacht (ging nicht von mir aus). Hat sich aber (nicht aus inhaltlichen oder atmosphärischen Gründen) zerschlagen und ich habe es auslaufen lassen.

Wer es genauer verfolgt, wird bemerkt haben, dass die Frequenz meiner Postings hier nach Februar deutlich gegen 0 strebte und ich wieder meine Zeit auf die eigenen Blogs fokussiere. Der obige Post war schlicht so etwas wie Nostalgie - tue der Site was gutes, ohne viel Arbeit rein zu stecken (wasch mir den Pelz, aber mache mich nicht nass, war retroperspektiv ein Fehler und ich hätte es sein lassen sollen). Habe aber die Diskussionen hier zum Anlass genommen, die Postings bei admin.de künftig einzustellen - oder werde es auf wenige Sonderfälle beschränken (es sei denn, es gibt irgendwann wieder eine Vereinbarung mit Frank).

Und zum Thema: 'in deinen Blog locken' nur so viel. Wenn ich einen englischsprachigen Blog-Post erstelle und den in der G+ Community von Microsoft oder in einer FB-Gruppe poste, kommen da wesentlich mehr Besucher in die Blogs als zu Zeiten, wo ich hier gepostet habe. Und das beschränkt sich dann auf Link und ein paar Wortfetzen einstellen (quasi Null Arbeit).

Damit soll es gut sein - originäres Ziel war es, auf einen Sachverhalt hinzuweisen. Ist nicht so wie geplant angekommen - ok, über die Form der Art Original-Links direkt einstellen, mag man diskutieren, sei es drum - die Erklärung steckt im obigen Text. Dass sich jetzt die Diskussion in mehreren Postings im Thread um Nebenkriegsschauplätze dreht, bringt keinen weiter. Also lasst uns dieses Fass hier zu machen. Wer die Beiträge von mir mag, kommt in den Blogs vorbei, wer es für Gefasel hält, lässt es halt bleiben - plain und easy, als Blogger stelle ich mich eh täglich den Leuten zur Abstimmung mit den Füßen. Und für die geneigten Leser hat der Post hier die Hintergründe erläutert. Ich denke, Frank wird es ähnlich sehen. In diesem Sinne.

PS: Ich lasse die Kommentare noch offen, vielleicht kommt zum eigentlichen Thema Zip Slip noch was rum.