Zip Slip возвращается в Node.js
Не так давно, в 2018 году, прогремел хорошо забытый новый вид атак — Zip Slip.
Zip Slip является широко распространенной критической уязвимостью распаковки архивов, позволяющей злоумышленникам записывать произвольные файлы в систему, что обычно приводит к удаленному выполнению команд. Она была обнаружена и раскрыта командой Snyk Security в преддверии публичного разглашения — 5 июня 2018 года и затронула тысячи проектов, в том числе HP, Amazon, Apache, Pivotal и многие другие.
Дополнительную информацию о технических подробностях Zip Slip можно найти на сайте.
С тех пор большинство фреймворков и языков, в которых были обнаружены эти уязвимости, были исправлены, и об уязвимости давно не было слышно.
Но совсем недавно появился новый случай не менее интересный, чем предыдущие.
Zip Slip в популярной библиотеке для Node.js — «decompress».
Читать дальше →
Zip Slip является широко распространенной критической уязвимостью распаковки архивов, позволяющей злоумышленникам записывать произвольные файлы в систему, что обычно приводит к удаленному выполнению команд. Она была обнаружена и раскрыта командой Snyk Security в преддверии публичного разглашения — 5 июня 2018 года и затронула тысячи проектов, в том числе HP, Amazon, Apache, Pivotal и многие другие.
Дополнительную информацию о технических подробностях Zip Slip можно найти на сайте.
С тех пор большинство фреймворков и языков, в которых были обнаружены эти уязвимости, были исправлены, и об уязвимости давно не было слышно.
Но совсем недавно появился новый случай не менее интересный, чем предыдущие.
Zip Slip в популярной библиотеке для Node.js — «decompress».
Читать дальше →
Источник: Хабрахабр
