Zip Slip возвращается в Node.js
Не так давно, в 2018 году, прогремел хорошо забытый новый вид атак — Zip Slip.
Zip Slip является широко распространенной критической уязвимостью распаковки архивов, позволяющей злоумышленникам записывать произвольные файлы в систему, что обычно приводит к удаленному выполнению команд. Она была обнаружена и раскрыта командой Snyk Security в преддверии публичного разглашения — 5 июня 2018 года и затронула тысячи проектов, в том числе HP, Amazon, Apache, Pivotal и многие другие.
Дополнительную информацию о технических подробностях Zip Slip можно найти на сайте.
С тех пор большинство фреймворков и языков, в которых были обнаружены эти уязвимости, были исправлены, и об уязвимости давно не было слышно.
Но совсем недавно появился новый случай не менее интересный, чем предыдущие.
Zip Slip в популярной библиотеке для Node.js — «decompress».
Читать дальше →
Zip Slip является широко распространенной критической уязвимостью распаковки архивов, позволяющей злоумышленникам записывать произвольные файлы в систему, что обычно приводит к удаленному выполнению команд. Она была обнаружена и раскрыта командой Snyk Security в преддверии публичного разглашения — 5 июня 2018 года и затронула тысячи проектов, в том числе HP, Amazon, Apache, Pivotal и многие другие.
Дополнительную информацию о технических подробностях Zip Slip можно найти на сайте.
С тех пор большинство фреймворков и языков, в которых были обнаружены эти уязвимости, были исправлены, и об уязвимости давно не было слышно.
Но совсем недавно появился новый случай не менее интересный, чем предыдущие.
Zip Slip в популярной библиотеке для Node.js — «decompress».
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Тест-драйв WAF: как быстро и на практике проверить, подходит ли вам файервол
- А вы уверены, что знаете, что значит размер сенсора 1/4" или 1/3"?
- HackTheBox Labs (Starting Point) — Meow
- Плагины безопасности спешат на помощь или как добиться тотальной доминации над уязвимостями контейнеров
- Как мы обеспечили 99.99% аптайм на платформе с миллионами запросов в день: опыт разработки для закрытой БК
- Как мы обеспечили 99.7% аптайм на платформе с миллионами запросов в день: опыт разработки для закрытой БК
- [Перевод] Пошаговое руководство по написанию эксплойта ядра iOS
- Квадратными должны быть метры, а не голова: как Цифроматика обеспечила безопасность данных МосгорБТИ
- Электронная почта как золотая жила для OSINT
- Spark_news: Яндекс оформляет права на торговую марку Team Yandex