セキュリティ情報
Snyk Security、アーカイブファイルの処理に関する重大な脆弱性「Zip Slip」を発見、多数のプロジェクトに影響
Snyk Securityは6月5日、アーカイブファイルの処理に関する重大な脆弱性「Zip Slip」を発見したと発表した。
同社の発表によると、「Zip Slip」は、JavaScript、Ruby、.NET、Goなど複数のエコシステムに存在し、「tar」「jar」「war」「cpio」「apk」「rar」「7z」などのアーカイブフォーマットが影響を受ける。悪意のある細工を施したアーカイブを利用すれば、任意のファイルを上書きし、リモートでコマンドを実行できてしまう危険もある。
「Zip Slip」は、HP、Amazon、Apache、Pivotalなど、多数のプロジェクトに影響するとしている。Snykは、2018年4月から5月にかけて、影響を受けるベンダーやプロジェクトチームに連絡を取り、Apache Hadoop、Amazon AWS Toolkit for Eclipseをはじめとして、多数のプロダクトに脆弱性が修正されているという。
(川原 龍人/びぎねっと)
[関連リンク]
Blogによる記事