Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Nächster Alarm: die Sicherheitslücke Zip Slip wurde aufgedeckt

Mitglied: kgborn

kgborn (Level 2) - Jetzt verbinden

06.06.2018, aktualisiert 16:57 Uhr, 2097 Aufrufe, 10 Kommentare, 4 Danke

Vor wenigen Stunden haben Sicherheitsforscher eine Sicherheitslücke mit dem Namen Zip Slip aufgedeckt. Diese hat das Potential, so gut wie jede Software zu treffen.

Der Hintergrund


Die Sicherheitslücke steckt in der Implementierung von Pack-Algorithmen in breit eingesetzten Bibliotheken. Werden präparierte Archivdateien mit traversalen Datenpfaden verwendet, laufen die Algorithmen der Pack-Bibliotheken 'in den Wald'. Das führt dazu, dass unberechtigter Weise (System-) Dateien überschrieben werden können - und so am Ende des Tages Remote Code Execution-Angriffe ermöglicht werden.

Fast alles betroffen

Was mich an Meltdown und die Spectre-Varianten erinnert: Es sind so gut wie alle Eco-Systeme, von .NET über JAVA bis hin zu JavaScript (alle benutzen Packbibliotheken) tangiert - und tausende an Software-Projekten setzen kompromittierbare Bibiotheken ein. Informationen, dass das ausgenutzt wird, gibt es noch nicht.

Ich habe ein paar Informationen und eine erste Einschätzung (eines Sicherheitsforschers), was Administatoren wissen sollten, im Blog-Beitrag Sicherheitslücke Zip Slip aufgedeckt zusammen getragen. Vielleicht hilft es beim Sortieren.
Mitglied: Kraemer
06.06.2018 um 20:42 Uhr
Moin,

sorry aber 3 Punkte fallen auf:
1. du schreibst reißerischer, wie z.B. Heise
2. dein Artikel scheint zwar länger wie der von Heise - ist allerdings genau so oberflächlich
3. dein letzter Absatz im Blog versucht mal wieder Weltuntergangsstimmung heraufzubeschwören.

eigentlich schade.

Gruß
Bitte warten ..
Mitglied: jan.xb
07.06.2018 um 08:32 Uhr
Gerade getestet mit den Beispiel-Archiven von Github aus deinem Blogpost und 7zip als Entpacker. Die "evil" Datei aus dem Archiv taucht im Viewer nicht auf, beim Entpacken wird sie dann aber in's korrekte Verzeichnis entpackt. Anscheinend werden bei 7zip also die relativen Pfadangaben ignoriert bzw. validiert.
Bitte warten ..
Mitglied: windowsboy
07.06.2018 um 10:06 Uhr
Guten Tag,

naja die meisten dürften 7-Zip benutzen. Das Problem wäre allerdings die Zip Schnittstelle in Windows da 7-Zip ua. auch nicht als Standard Packer eingestellt wird werden die meisten es doch oft nutzen.
Bitte warten ..
Mitglied: wolfble
07.06.2018, aktualisiert um 10:13 Uhr
Solange nicht auch die Kommentar so sind wie bei Heise.. Dann muß ich leider flüchten
Bitte warten ..
Mitglied: kgborn
07.06.2018 um 10:16 Uhr
Danke für die Ergänzung.

Das Problem auf den lokalen Windows-Maschinen dürfte man über die Auswahl der ZIP-Programme in den Griff kriegen (und einfach ein paar Tage keine Archive aus obskuren Quellen entpacken).

Kritischer sind Online-Angebote, wo komprimierte Inhalte hochgeladen und dann entpackt werden. Und die ganzen Produkte, wo verwundbare Packbibliotheken eingebunden sind.

@Kraemer: Der Post sollte auch nur eine Information sein - bin da wohl anders sozialisiert worden als die heute Generation (zig Jahre in der Großchemie - da war es wichtig, die Info überhaupt auf den Tisch zu bekommen - man hat selbst geschaut, ob es relevant war und dann recherchiert). Die Original-Artikel sind verlinkt, kann also jeder bei Bedarf in die Tiefe gehen. Als Blogger muss ich nicht euren Admin-Job machen - höchstens meine eigene Infrastruktur diesbezüglich absichern
Bitte warten ..
Mitglied: Kraemer
07.06.2018 um 12:06 Uhr
@kgborn lies dir mal beispielsweise den Artikel von Golem.de zu dem Thema durch. So in etwa hat das auszusehen!
Wenn du keinen Mehrwert zu vorhandenen Artikeln oder Informationen liefern kannst, dann reicht es völlig, darauf zu verweisen. Fürs Halbwahrheiten verbreiten ist der Springer-Verlag zuständig.
Bitte warten ..
Mitglied: windowsboy
07.06.2018 um 14:23 Uhr
Also, 7-Zip scheint doch Betroffen.

Allerdings der Packer in Windows 8.1 Ignoriert es.
test - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: YveIce
08.06.2018 um 16:32 Uhr
Mein "altes" 7-zip von 2016 zeigt korrekt den Inhalt an, inklusive der Datei "evil.txt". Ich sehe also vorher das die Datei unter Umständen mit relativen Pfaden entpackt wird.

Lustiger finde ich eher, das es beim Entpacken falsch entpackt wird. Wenn ich z.B.: alles nach D:\TEMP\TEST\ entpacken lande habe ich dann:
D:\TEMP\TEST\good.txt und
D:\TEMP\TEST\tmp\evil.txt statt D:\tmp\evil.txt
Also BUG statt Sicherheitslücke (imho).

Windows-10 (Datei-) Explorer ignoriert die Datei "evil.txt" komplett, was ich eher als schwerwiegenden BUG bezeichnen würde. Vermutlich weil ".." als Folder-Up ignoriert wird. Obwohl in der Windows-Shell (CMD) funktioniert ja ein "cd ../.." auch wie es soll.

Von daher sehe ich kein Problem auf den normalen Systemen. Unter BSD/Linux scheitert es an den Benutzerrechten, sei den man ist den ganzen Tag mit Super-Kuh Rechten unterwegs. Ansonsten müsste man böse Dateien nach dem Entpacken erstmal Ausführbar machen. Da gibts ganz wenige Angriffsvektoren die ich mir vorstellen könnte, wie ein "sudo" alias in der ~/.bashrc die dann zusätzlich einen bösen Befehl mit ausführt.

Also ausser bei schlecht konfigurierten Webservern erkenne ich kein wirkliches Problem. Und wenn man sich mal:
https://github.com/snyk/zip-slip-vulnerability
anschaut, geht es ja auch eher um LIBs von Java, Ruby, Go und Co.
zipleak - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: BassFishFox
08.06.2018, aktualisiert um 22:25 Uhr
Hallo,

Der Post sollte auch nur eine Information sein

Fuer eine Information waeren die orginalen Links in der Information hier wesenlich hilfreicher wie erst auf Deinen Blog zu gehen und sich dort muehsam Selbiges zusammen zu kratzen.

Ich mag eigentlich den Stil wie Du manche Sachen an die lesekundige Bevoelkerung rueber wachsen laesst, aber es kommt mir jedesmal im Hinterkopf der Gedanke hoch, dass Du hier postet um Leute auf Deinen Blog zu locken.

Ok, ist noch Freitag?

Schoenes WE!
BFF
Bitte warten ..
Mitglied: kgborn
09.06.2018, aktualisiert um 13:15 Uhr
@BassFishFox: Ok, das musste irgendwo so kommen - habe ich lange erwartet.

Den Zahn kann ich euch aber ziehen. Der Hintergrund, warum ich hier eine Zeit lang gepostet habe: Im Januar 2018 war eine Kooperation zwischen Frank (dem Betreiber) und meinem Blog angedacht (ging nicht von mir aus). Hat sich aber (nicht aus inhaltlichen oder atmosphärischen Gründen) zerschlagen und ich habe es auslaufen lassen.

Wer es genauer verfolgt, wird bemerkt haben, dass die Frequenz meiner Postings hier nach Februar deutlich gegen 0 strebte und ich wieder meine Zeit auf die eigenen Blogs fokussiere. Der obige Post war schlicht so etwas wie Nostalgie - tue der Site was gutes, ohne viel Arbeit rein zu stecken (wasch mir den Pelz, aber mache mich nicht nass, war retroperspektiv ein Fehler und ich hätte es sein lassen sollen). Habe aber die Diskussionen hier zum Anlass genommen, die Postings bei admin.de künftig einzustellen - oder werde es auf wenige Sonderfälle beschränken (es sei denn, es gibt irgendwann wieder eine Vereinbarung mit Frank).

Und zum Thema: 'in deinen Blog locken' nur so viel. Wenn ich einen englischsprachigen Blog-Post erstelle und den in der G+ Community von Microsoft oder in einer FB-Gruppe poste, kommen da wesentlich mehr Besucher in die Blogs als zu Zeiten, wo ich hier gepostet habe. Und das beschränkt sich dann auf Link und ein paar Wortfetzen einstellen (quasi Null Arbeit).

Damit soll es gut sein - originäres Ziel war es, auf einen Sachverhalt hinzuweisen. Ist nicht so wie geplant angekommen - ok, über die Form der Art Original-Links direkt einstellen, mag man diskutieren, sei es drum - die Erklärung steckt im obigen Text. Dass sich jetzt die Diskussion in mehreren Postings im Thread um Nebenkriegsschauplätze dreht, bringt keinen weiter. Also lasst uns dieses Fass hier zu machen. Wer die Beiträge von mir mag, kommt in den Blogs vorbei, wer es für Gefasel hält, lässt es halt bleiben - plain und easy, als Blogger stelle ich mich eh täglich den Leuten zur Abstimmung mit den Füßen. Und für die geneigten Leser hat der Post hier die Hintergründe erläutert. Ich denke, Frank wird es ähnlich sehen. In diesem Sinne.

PS: Ich lasse die Kommentare noch offen, vielleicht kommt zum eigentlichen Thema Zip Slip noch was rum.
Bitte warten ..
Ähnliche Inhalte
Datenschutz

Sicherheitslücken bei Stromtankstellen

Information von Penny.CilinDatenschutz

Hallo, ein weiterer Grund bezüglich E-Automobilität vorsichtig zu sein. Wie man lesen kann, ist auch hier die Sicherheit nicht ...

Entwicklung

Neue 7 Zip Version

Information von sabinesEntwicklung1 Kommentar

Die Version 18.05 ist vor kurzem erschienen und schließt einige Lücken Näheres hier:

Sicherheit

Sicherheitsrisiko: Die Krux mit 7-Zip

Information von kgbornSicherheit11 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Datenschutz

Sicherheitslücke im vernetzten Staubsauger-Roboter

Information von Penny.CilinDatenschutz5 Kommentare

Hallo, auch wenn es nur einen vernetzten Staubsauger-Roboter aus China betrifft, durch den Leak wurde zudem herausgefunden, welche Daten ...

Neue Wissensbeiträge
Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 1 TagHumor (lol)4 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 1 TagExchange Server6 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 2 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Vmware
VMware Updates gegen L1 Lücke
Information von sabines vor 2 TagenVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Heiß diskutierte Inhalte
Windows Server
Windows Server per Web auf Daten zugreifen und verwalten
Frage von matze2090Windows Server16 Kommentare

Hallo, ich würde gerne von außen auf meinem Windows Server zugreifen um auf meine Daten zu verwalten. Meine frage ...

DSL, VDSL
Router Neustarts
Frage von XerebusDSL, VDSL16 Kommentare

Hallo an alle, ich hab eine Problem mit dem Neustart von meiner Fritz Box wo ich einfach nicht mehr ...

Netzwerke
Netzwerk-Architektur mit VLANs
Frage von niLuxxNetzwerke13 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch. Ich werde in Kürze das Netzwerk unserer (sehr) kleinen Firma ...

Webbrowser
Neuer Tab Firefox
gelöst Frage von BleifussWebbrowser12 Kommentare

Hallo, via Strg + T öffnet man ja einen neuen Tab. Gibt es die Möglichkeit, dass der Tab sich ...