Snyk Security、アーカイブファイルの処理に関する重大な脆弱性「Zip Slip」を発見、多数のプロジェクトに影響
2018年6月6日(水)
Snyk Securityは6月5日、アーカイブファイルの処理に関する重大な脆弱性「Zip Slip」を発見したと発表した。
同社の発表によると、「Zip Slip」は、JavaScript、Ruby、.NET、Goなど複数のエコシステムに存在し、「tar」「jar」「war」「cpio」「apk」「rar」「7z」などのアーカイブフォーマットが影響を受ける。悪意のある細工を施したアーカイブを利用すれば、任意のファイルを上書きし、リモートでコマンドを実行できてしまう危険もある。
「Zip Slip」は、HP、Amazon、Apache、Pivotalなど、多数のプロジェクトに影響するとしている。Snykは、2018年4月から5月にかけて、影響を受けるベンダーやプロジェクトチームに連絡を取り、Apache Hadoop、Amazon AWS Toolkit for Eclipseをはじめとして、多数のプロダクトに脆弱性が修正されているという。
(川原 龍人/びぎねっと)
[関連リンク]
Blogによる記事
Think ITメルマガ会員登録受付中
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
全文検索エンジンによるおすすめ記事
- 脆弱性を修正した圧縮・解凍ソフト「7-zip 18.05」リリース、他のソフトウェアにも影響
- 脆弱性を修正した圧縮・解凍ソフト「7-zip 18.05」リリース、他のソフトウェアにも影響
- 圧縮・解凍ソフト「7-zip 15.12」リリース、ext4ファイルシステムの抽出に対応
- 圧縮・解凍ソフト「7-zip 16.03」リリース
- TomcatをLinuxへインストールしよう!(圧縮アーカイブ編)
- プロダクトライフサイクルでのシフトレフトを推進―開発者ファーストの思想で一貫したDevSecOps環境を実現するSnyk
- 新興セキュリティベンダーSnykのVPにインタビュー。デベロッパーファーストセキュリティとは?
- 生産性の向上と脆弱性リスクの低減を両立─ 開発者ファーストのセキュリティプラットフォーム 「Snyk」がもたらす効果・効用
- CentOSにインストールするWordPressパッケージの入手
- 開発者主導のセキュリティ対策の強い味方、脆弱性スキャンを随所に組み込む「Snyk」の価値