Всегда хорошо говорить что думаешь, если умеешь думать что говоришь.

Девушка, пытаясь оторвать от работы своего друга-программиста, говорит: ...

Перед GTK+ 4 планируется сформировать внеплановый выпуск GTK+ 3.24
Sun, 24 Jun 2018 18:06:52 +0300

Компания Oracle передала сообществу Apache 1.5 млн строк кода NetBeans
Fri, 22 Jun 2018 09:25:33 +0300

Начальный план разработки Qt 6
Thu, 21 Jun 2018 22:26:33 +0300

Разработчики Netfilter официально объявили инструментарий iptables устаревшим
Thu, 21 Jun 2018 14:18:47 +0300

Blender тестирует децентрализованный PeerTube после блокировки видео на YouTube
Wed, 20 Jun 2018 20:35:28 +0300

Представлен проект Fedora CoreOS
Wed, 20 Jun 2018 19:05:49 +0300

В OpenBSD добавлен код программного отключения SMT (HyperThreading)
Wed, 20 Jun 2018 12:11:25 +0300

В рамках проекта Devilution предпринята попытка воссоздания кода игры Diablo
Tue, 19 Jun 2018 13:06:26 +0300

Проекту FreeBSD исполнилось 25 лет
Tue, 19 Jun 2018 12:18:37 +0300

Открыт код C++ компилятора Zapcc
Mon, 18 Jun 2018 11:26:24 +0300

Установочный скрипт проекта yandex-disk-indicator удалял раздел /usr
Sun, 17 Jun 2018 20:11:45 +0300

Mozilla рассматривает возможность создания системы голосовой навигации для браузера
Sun, 17 Jun 2018 13:27:14 +0300

Разбор ситуации с обвинением OpenBSD в нарушении эмбарго при исправлении уязвимости KRACK
Sat, 16 Jun 2018 08:46:44 +0300

Подготовленный в Microsoft deb-пакет с Open R принудительно заменяет /bin/sh на bash
Thu, 14 Jun 2018 20:15:07 +0300

В Chrome будет прекращена поддержка установки дополнений по запросу сторонних сайтов
Thu, 14 Jun 2018 12:04:29 +0300

Новости OPENNET
Новости

Раскрыты сведения об уязвимости Zip Slip, которая позволяет переписать или сохранить файлы за пределами базового каталога при распаковке архивов с использованием функций распаковки, предоставляемых различными библиотеками на Java, JavaScript, .NET и Go. В анонсе достаточно много PR и заметно преувеличена степень новизны проблемы и степени её опасности, в то время как уязвимость по сути повторяет проблемы, устранённые 10-20 лет назад в штатных утилитах распаковки архивов, перенося их на современные фреймворки.

Суть уязвимости в том, что можно подготовить модифицированный архив (tar, jar, war, cpio, apk, rar или 7z), в котором подставить в путь сохранённого в архиве файла символы "../../". При распаковке данного файла с использованием уязвимых библиотек из-за отсутствия проверки относительного пути файл будет сохранён в каталог вне базового каталога распаковки архива. В большинстве случаев уязвимость в библиотеках сводится к тому, что они допускают вывод путей с "../../" при выполнении перебора содержимого модифицированного архива. Сама уязвимость касается больше конечных приложений, в которых подобные пути не проверяются перед записью файлов.

Таким образом при открытии модифицированного архива в подобных приложениях можно переписать любой файл текущего пользователя в системе, насколько это позволяют права доступа. Для совершения атаки злоумышленник должен знать текущий каталог, относительно которого выполняется распаковка. Теоретически проблема представляет опасность для различных типовых web-сервисов и продуктов, которые принимают в качестве входных данных архивы и автоматически распаковывают их.

Среди библиотек и приложений, в которых подтверждена проблема, упоминаются Java-компоненты zip4j, zt-zip и Plexus-archiver (исправлено в 3.6.0), JavaScript-модули Unzipper (0.8.13) и Adm-zip (0.4.9), .NET-библиотеки DotNetZip.Semverd (библиотека распаковки из .NET Core не подвержена проблеме), SharpZipLib и SharpCompress (0.21.0), mholt/archiver на языке Go (патч). Уязвимых библиотек на Python и Ruby не обнаружено так как в библиотеках Python аналогичные проблемы были устранены в 2014 году, а в библиотеках Ruby archive-tar-minitar, minitar и rubyzip в 2016 году. В Oracle java.util.zip и Apache commons-compress в реализации API уязвимостей нет, но были некорректные примеры в документации.

Среди продуктов, в которых использовались уязвимые библиотеки, отмечаются пакетный менеджер npm,

платформа Google Cloud, продукты Oracle, Amazon CodePipeline, AWS Toolkit for Eclipse, IBM DataPower, Alibaba JStorm, Twitter Heron, Apache Storm, Apache Hadoop,

Apache Ant, Apache Maven, Apache Hive, HP Fortify Cloud Scan Jenkins Plugin, OWASP DependencyCheck. Примечательно, что в 2015 году аналогичная проблема при обработке zip-файлов в SwiftKey применялась для получения root-доступа к смартфонам Samsung Galaxy S4, S4 Mini, S5 и S6.

63.2396 73.7247 0.5739 9.7368

НОВОСТИ: Третий альфа-выпуск инсталлятора Debian 10 "Buster" Tue, 19 Jun 2018 21:13:48 +0300

Доступен третий альфа-выпуск инсталлятора следующего значительного релиза Debian 10 "Buster". По сравнению со вторым альфа-выпуском представлены следующие изменения.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome