Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Zip Slip: vulnerabilità critica in software di estrazione di archivi compressi

Zip Slip   mercoledì, 6 giugno 2018

ZipSlipRicercatori della società Snyk, specializzata nella sicurezza di applicazioni e progetti open source, hanno reso nota l’esistenza di una vulnerabilità critica ampiamente diffusa in librerie e progetti che contengono codice per l’estrazione di archivi compressi.

La vulnerabilità in questione, battezzata Zip Slip, è legata alla gestione impropria di archivi contenenti nomi di file che includono percorsi di directory diverse da quella corrente, ad esempio ../../evil.sh. Questa modalità di rappresentazione dei percorsi dei file, chiamata directory traversal, se non adeguatamente controllata in fase di decompressione, può provocare la sovrascrittura di file esistenti sul sistema. Questa vulnerabilità potrebbe essere sfruttata da un utente malevolo mediante un archivio compresso appositamente predisposto. Se sfruttata con successo, la vulnerabilità potrebbe consentire di modificare o cancellare file di configurazione o altri file critici di sistema, con conseguente condizione di denial of service o, nella peggiore delle ipotesi, esecuzione di comandi arbitrari o iniezione di malware.

La vulnerabilità Zip Slip è stata identificata in numerose librerie e progetti open source sviluppati utilizzando diversi linguaggi di programmazione, tra cui JavaScript, Ruby, .NET, Go e soprattutto Java. Tra i progetti affetti figurano applicazioni e software di larga diffusione, tra cui prodotti HP, Oracle, Amazon, Spring/Pivotal, Linkedin, Twitter, Alibaba, Jenkinsci, Eclipse, OWASP, SonarCube, OpenTable, Arduino, ElasticSearch, Selenium, Gradle, JetBrains e Google.

Zip Slip affligge numerosi formati di archivi compressi, tra cui tar, jar, war, cpio, apk, rar e 7z.

Già a partire da aprile, i ricercatori hanno lavorato a stretto contatto con i produttori, gli sviluppatori e la comunità open source, allo scopo di diffondere il più possibile i dettagli tecnici della vulnerabilità e consentire lo sviluppo di opportune patch. Tra i progetti affetti per i quali sono già disponibili aggiornamenti figurano quelli dei seguenti produttori (lista non esaustiva):

  • Apache.org: Storm, Hadoop, Hive, Maven, Ant
  • Pivotal: spring-integration-zip
  • HP: Fortify Cloud Scan Jenkins Plugin
  • OWASP: DependencyCheck
  • Amazon: AWS Toolkit for Eclipse

Per maggiori informazioni su questa vulnerabilità, inclusa una lista aggiornata dei prodotti vulnerabili e degli aggiornamenti disponibili, è possibile consultare le seguenti fonti esterne (in Inglese):