"Zip Slip": Une faille critique durant l'extraction d'archives affecte plusieurs écosystèmes

Des chercheurs de Snyk ont révélé les détails d'une faille, surnommée « Zip Slip », qui pourrait permettre la suppression arbitraire de fichiers. L'exploitation de cette vulnérabilité permet de déclencher une attaque de type traversée de répertoire lors de l'extraction d'une archive. Une exploitation réussie permettrait d’écraser des fichiers exécutables ou des fichiers de configuration pour une application.

Elle affecte de nombreux formats d'archive, notamment tar, jar, war, cpio, apk, rar et 7z. Le problème affecte également des milliers de projets JavaScript, Ruby, Java, .NET et Google, Oracle, IBM, Apache, Amazon, Spring/Pivotal, Linkedin, Twitter, Alibaba, Eclipse, OWASP, ElasticSearch, JetBrains et d'autres qui contiennent des bibliothèques et du code vulnérables.

Snyk a publié des archives de preuve de concept « Zip Slip » et a publié une vidéo démonstrative expliquant l’exploitation de la faille « Zip Slip ». Une liste de toutes les bibliothèques et de tous les projets impactés a été également publiée par Synk, dont certains ont déjà résolu le problème avec la publication de mises à jour.