書庫ファイル展開処理の脆弱性「Zip Slip」、広範囲に影響

多数のソフトウェアやライブラリで採用されている書庫ファイルの展開処理に、脆弱性が発見されました。
英Snyk Security社によると、書庫ファイルの展開時にパス名・ファイル名の検証が不十分な脆弱性「Zip Slip」があり、悪用されるとファイルの置換や実行が可能になってしまうとのことです。

Zip Slipの脆弱性は、JavaScript、Ruby、.NET、Goといった複数のエコシステムで発見され、特にJavaで蔓延していることが判明した。「tar」「jar」「war」「cpio」「apk」「rar」「7z」など、膨大な数のアーカイブフォーマットが影響を受けるという。
（ITmedia エンタープライズより引用）

多くのプロジェクトではすでに対策が進んでいて、最新バージョンへ更新することで回避されます。

開発者からの告知にご注意ください。

また、Snyk Security社のGitHubページに情報が集約されています。

《参考URL》

* アーカイブファイルの展開処理における脆弱性「Zip Slip」について

* アーカイブ展開に脆弱性「Zip Slip」 - 多数ソフトウェアに影響：Security NEXT

* アーカイブファイル関連の脆弱性「Zip Slip」、大手プロジェクト多数に影響 - ITmedia エンタープライズ

* 広く採用されている書庫展開処理に任意コード実行を許す脆弱性 ～数千のプロジェクトに影響 - 窓の杜

* GitHub - snyk/zip-slip-vulnerability: Zip Slip Vulnerability (Arbitrary file write through archive extraction)

株式会社サンロフトでは、サイバーセキュリティ対策についてご案内できるソリューションがあります。是非お気軽に、ご相談ください。

　⇒ 株式会社サンロフト：セキュリティ対策サービス

■セミナー開催のお知らせ■

中小企業「経営者」のための情報セキュリティ対策セミナー

日時：2018年7月25日（水）13：30～15：00

会場：株式会社サンロフト

■講座内容

不正アクセスによる情報漏えい、公的機関を騙った詐欺メール、身代金ウイルスなど、多くのセキュリティ被害ニュースが報道されていますが、最近では、中小企業を狙った攻撃も急増中。本セミナーでは、身近に起こるセキュリティ被害と被害に遭う企業の共通点、そして具体的な解決方法をわかりやすく解説。講座では、ハッキングの実演もします！

■講師

株式会社船井総合研究所

サイバーセキュリティチーム

チームリーダー

チーフ経営コンサルタント

兎澤 直樹 氏

　⇒ 詳細はこちらをご覧ください