アーカイブファイル関連の脆弱性「Zip Slip」、大手プロジェクト多数に影響
セキュリティ企業Snykによると、Zip Slipの脆弱性は、HPやAmazon、Apache、Pivotalなどを含め、数千ものプロジェクトに影響を及ぼすという。
オープンソース製品のセキュリティ対策を手掛けるSnyk Securityは6月5日、アーカイブファイルの処理に関連して、多数のオープンソースプロジェクトに影響を及ぼす重大な脆弱性を発見したと発表した。
同社はこの脆弱性を「Zip Slip」と命名。HPやAmazon、Apache、Pivotalなどを含め、数千ものプロジェクトに影響が及ぶと説明している。
Snykによると、Zip Slipの脆弱性は、JavaScript、Ruby、.NET、Goといった複数のエコシステムで発見され、特にJavaで蔓延していることが判明した。「tar」「jar」「war」「cpio」「apk」「rar」「7z」など、膨大な数のアーカイブフォーマットが影響を受けるという。
細工を施したアーカイブを使ってこの脆弱性を悪用されれば、任意のファイルが上書きされ、リモートでコマンドを実行される恐れがあるとしている。
Snykでは2018年の4月から5月にかけて、影響を受けるベンダーやプロジェクトチームに連絡を取ったという。これを受けて、Apache Hadoop、HPのFortify Cloud Scan Jenkins Plugin、AmazonのAWS Toolkit for Eclipseなど、多数の製品やサービスで脆弱性が修正されている。
Snykはこうしたライブラリを使っている組織などに対し、自分たちのプロジェクトでZip Slipの脆弱性があるコードを使っているかどうかチェックして、脆弱性を修正したバージョンのライブラリが使われていることを確認するよう呼び掛けている。
関連記事
- 暗号化メールを平文で読まれる恐れ、「PGP」「S/MIME」に脆弱性
電子メールの暗号化に広く使われている規格に、暗号化されたメッセージを攻撃者が平文で入手できてしまう脆弱性が報告された。特にApple Mail、iOS Mail、Mozilla Thunderbirdなどのメールクライアントが危険だという。 - 「Libarchive」ライブラリに脆弱性、7-Zipなどプログラム多数に影響
「脆弱性の影響は多くのサードパーティープログラムに及び、攻撃者が一度に多数の異なるプログラムやシステムを攻撃することが可能」とされる。 - WebLogicの脆弱性を突く攻撃が横行、パッチ公開の直後から
脆弱性情報が公開されてから悪用されるまでの期間は、ますますます短くなっている。 - 「平成生まれのハッカー社長」が考える、働き方改革に潜む“脆弱性”とは?
働き方改革のために、セキュリティをどうすべきか――。ITmedia エンタープライズが開催したセミナー「働き方改革のリアル」で行われた講演では、この難題をクリアするための考え方やさまざまなツールが紹介された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.