Zip Slip, oportuno rebranding de una vieja vulnerabilidad

Iniciado por wolfbcn, 8 Junio 2018, 01:41 AM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Se ha detectado la posibilidad de sobreescribir archivos arbitrarios, que suele permitir ejecutar código arbitrario, en múltiples proyectos software de envergadura

Sobreescritura de archivos arbitrarios al descomprimir un archivo conteniendo nombres de archivo que escalan directorios. Eso es todo. Pero ya sabemos que cualquier cosa vende más con un nombre pegadizo y un logo bonito. En este caso, los responsables de localizar esta vieja vulnerabilidad en múltiples proyectos importantes fueron los componentes del equipo de seguridad de Snyk, una empresa dedicada a encontrar y arreglar vulnerabilidades en dependencias software.

Técnicamente, la vulnerabilidad no es ninguna obra maestra, ni siquiera es nueva. Tiene gracia buscar 'zip directory traversal' en Google y encontrarse como primer resultado un repositorio de GitHub que permite generar un archivo para explotar esta vulnerabilidad. Actualizado por última vez hace 7 años. Y cuya descripción reza así (traducida del inglés):

LEER MAS: https://unaaldia.hispasec.com/2018/06/zip-slip-oportuno-rebranding-de-una.html
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.