/note/tech

アーカイブファイル関連の脆弱性「Zip Slip」、大手プロジェクト多数に影響

オープンソース製品のセキュリティ対策を手掛けるSnyk Securityは6月5日、アーカイブファイルの処理に関連して、多数のオープンソースプロジェクトに影響を及ぼす重大な脆弱性を発見したと発表した。

具体的な情報がない。

Zip Slip is exploited using a specially crafted archive that holds directory traversal filenames (e.g. ../../evil.sh). The vulnerability can affect numerous archive formats, including tar, jar, war, cpio, apk, rar and 7z.

ディレクトリトラバーサル系のセキュリティホールなのかしら?

どうやって実行するんだろう?