Art der Meldung: Warnmeldung

Risikostufe 3

Zahlreiche Dekomprimierungs-Programme: Schwachstelle ermöglicht Codeausführung (ZIP Slip)

 

06.06.2018____________________________________________________________________________________________________

Betroffene Systeme:

Verschiedene Software Bibliotheken und Module für die Programmiersprachen Java, JavaScript, Go und Ruby

Verschiedene Tools zur Software Entwicklung (u.a. Apache Ant, Apache Maven, Apache Hadoop)

____________________________________________________________________________________________________

Empfehlung:

Das BürgerCERT empfiehlt Bürgern, die die unter [1] erwähnte Software nutzen, das Aktualisieren der

Software, sobald Sicherheitsupdates bereitstehen.

____________________________________________________________________________________________________

____________________________________________________________________________________________________

Beschreibung:

Unter dem Namen „Zip Slip“ wurden eine Reihe von Schwachstellen in Softwarebibliotheken

veröffentlicht. Unter Software-Bibliotheken kann man wiederverwendbare Funktionalitäten oder

Bestandteile von Programmen bezeichnen. Die erwähnten Schwachstellen ermöglichen das Überschreiben

von Dateien in anderen Verzeichnissen während dem Entpacken des Archivs und können in der

Ausführung von fremden und schadhaften Code resultieren. Eine vollständige Liste der betroffenen

Software ist unter [1] zu finden, eine ausführliche Beschreibung der Schwachstelle kann unter [2]

gefunden werden.

____________________________________________________________________________________________________

Zusammenfassung:

Schwachstellen in Bibliotheken und Programmen zum Entpacken von Datei-Archiven (z.B. .zip-Dateien)

ermöglichen die Ausführung von Schadcode mit den Berechtigungen des Nutzers.

____________________________________________________________________________________________________

Quellen:

– https://github.com/snyk/zip-slip-vulnerability#affected-libraries

– https://snyk.io/research/zip-slip-vulnerability

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn