Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Nächster Alarm: die Sicherheitslücke Zip Slip wurde aufgedeckt

Mitglied: kgborn

kgborn (Level 2) - Jetzt verbinden

06.06.2018, aktualisiert 16:57 Uhr, 2263 Aufrufe, 10 Kommentare, 4 Danke

Vor wenigen Stunden haben Sicherheitsforscher eine Sicherheitslücke mit dem Namen Zip Slip aufgedeckt. Diese hat das Potential, so gut wie jede Software zu treffen.

Der Hintergrund


Die Sicherheitslücke steckt in der Implementierung von Pack-Algorithmen in breit eingesetzten Bibliotheken. Werden präparierte Archivdateien mit traversalen Datenpfaden verwendet, laufen die Algorithmen der Pack-Bibliotheken 'in den Wald'. Das führt dazu, dass unberechtigter Weise (System-) Dateien überschrieben werden können - und so am Ende des Tages Remote Code Execution-Angriffe ermöglicht werden.

Fast alles betroffen

Was mich an Meltdown und die Spectre-Varianten erinnert: Es sind so gut wie alle Eco-Systeme, von .NET über JAVA bis hin zu JavaScript (alle benutzen Packbibliotheken) tangiert - und tausende an Software-Projekten setzen kompromittierbare Bibiotheken ein. Informationen, dass das ausgenutzt wird, gibt es noch nicht.

Ich habe ein paar Informationen und eine erste Einschätzung (eines Sicherheitsforschers), was Administatoren wissen sollten, im Blog-Beitrag Sicherheitslücke Zip Slip aufgedeckt zusammen getragen. Vielleicht hilft es beim Sortieren.
Mitglied: Kraemer
06.06.2018 um 20:42 Uhr
Moin,

sorry aber 3 Punkte fallen auf:
1. du schreibst reißerischer, wie z.B. Heise
2. dein Artikel scheint zwar länger wie der von Heise - ist allerdings genau so oberflächlich
3. dein letzter Absatz im Blog versucht mal wieder Weltuntergangsstimmung heraufzubeschwören.

eigentlich schade.

Gruß
Bitte warten ..
Mitglied: jan.xb
07.06.2018 um 08:32 Uhr
Gerade getestet mit den Beispiel-Archiven von Github aus deinem Blogpost und 7zip als Entpacker. Die "evil" Datei aus dem Archiv taucht im Viewer nicht auf, beim Entpacken wird sie dann aber in's korrekte Verzeichnis entpackt. Anscheinend werden bei 7zip also die relativen Pfadangaben ignoriert bzw. validiert.
Bitte warten ..
Mitglied: windowsboy
07.06.2018 um 10:06 Uhr
Guten Tag,

naja die meisten dürften 7-Zip benutzen. Das Problem wäre allerdings die Zip Schnittstelle in Windows da 7-Zip ua. auch nicht als Standard Packer eingestellt wird werden die meisten es doch oft nutzen.
Bitte warten ..
Mitglied: wolfble
07.06.2018, aktualisiert um 10:13 Uhr
Solange nicht auch die Kommentar so sind wie bei Heise.. Dann muß ich leider flüchten
Bitte warten ..
Mitglied: kgborn
07.06.2018 um 10:16 Uhr
Danke für die Ergänzung.

Das Problem auf den lokalen Windows-Maschinen dürfte man über die Auswahl der ZIP-Programme in den Griff kriegen (und einfach ein paar Tage keine Archive aus obskuren Quellen entpacken).

Kritischer sind Online-Angebote, wo komprimierte Inhalte hochgeladen und dann entpackt werden. Und die ganzen Produkte, wo verwundbare Packbibliotheken eingebunden sind.

@Kraemer: Der Post sollte auch nur eine Information sein - bin da wohl anders sozialisiert worden als die heute Generation (zig Jahre in der Großchemie - da war es wichtig, die Info überhaupt auf den Tisch zu bekommen - man hat selbst geschaut, ob es relevant war und dann recherchiert). Die Original-Artikel sind verlinkt, kann also jeder bei Bedarf in die Tiefe gehen. Als Blogger muss ich nicht euren Admin-Job machen - höchstens meine eigene Infrastruktur diesbezüglich absichern
Bitte warten ..
Mitglied: Kraemer
07.06.2018 um 12:06 Uhr
@kgborn lies dir mal beispielsweise den Artikel von Golem.de zu dem Thema durch. So in etwa hat das auszusehen!
Wenn du keinen Mehrwert zu vorhandenen Artikeln oder Informationen liefern kannst, dann reicht es völlig, darauf zu verweisen. Fürs Halbwahrheiten verbreiten ist der Springer-Verlag zuständig.
Bitte warten ..
Mitglied: windowsboy
07.06.2018 um 14:23 Uhr
Also, 7-Zip scheint doch Betroffen.

Allerdings der Packer in Windows 8.1 Ignoriert es.
test - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: YveIce
08.06.2018 um 16:32 Uhr
Mein "altes" 7-zip von 2016 zeigt korrekt den Inhalt an, inklusive der Datei "evil.txt". Ich sehe also vorher das die Datei unter Umständen mit relativen Pfaden entpackt wird.

Lustiger finde ich eher, das es beim Entpacken falsch entpackt wird. Wenn ich z.B.: alles nach D:\TEMP\TEST\ entpacken lande habe ich dann:
D:\TEMP\TEST\good.txt und
D:\TEMP\TEST\tmp\evil.txt statt D:\tmp\evil.txt
Also BUG statt Sicherheitslücke (imho).

Windows-10 (Datei-) Explorer ignoriert die Datei "evil.txt" komplett, was ich eher als schwerwiegenden BUG bezeichnen würde. Vermutlich weil ".." als Folder-Up ignoriert wird. Obwohl in der Windows-Shell (CMD) funktioniert ja ein "cd ../.." auch wie es soll.

Von daher sehe ich kein Problem auf den normalen Systemen. Unter BSD/Linux scheitert es an den Benutzerrechten, sei den man ist den ganzen Tag mit Super-Kuh Rechten unterwegs. Ansonsten müsste man böse Dateien nach dem Entpacken erstmal Ausführbar machen. Da gibts ganz wenige Angriffsvektoren die ich mir vorstellen könnte, wie ein "sudo" alias in der ~/.bashrc die dann zusätzlich einen bösen Befehl mit ausführt.

Also ausser bei schlecht konfigurierten Webservern erkenne ich kein wirkliches Problem. Und wenn man sich mal:
https://github.com/snyk/zip-slip-vulnerability
anschaut, geht es ja auch eher um LIBs von Java, Ruby, Go und Co.
zipleak - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: BassFishFox
08.06.2018, aktualisiert um 22:25 Uhr
Hallo,

Der Post sollte auch nur eine Information sein

Fuer eine Information waeren die orginalen Links in der Information hier wesenlich hilfreicher wie erst auf Deinen Blog zu gehen und sich dort muehsam Selbiges zusammen zu kratzen.

Ich mag eigentlich den Stil wie Du manche Sachen an die lesekundige Bevoelkerung rueber wachsen laesst, aber es kommt mir jedesmal im Hinterkopf der Gedanke hoch, dass Du hier postet um Leute auf Deinen Blog zu locken.

Ok, ist noch Freitag?

Schoenes WE!
BFF
Bitte warten ..
Mitglied: kgborn
09.06.2018, aktualisiert um 13:15 Uhr
@BassFishFox: Ok, das musste irgendwo so kommen - habe ich lange erwartet.

Den Zahn kann ich euch aber ziehen. Der Hintergrund, warum ich hier eine Zeit lang gepostet habe: Im Januar 2018 war eine Kooperation zwischen Frank (dem Betreiber) und meinem Blog angedacht (ging nicht von mir aus). Hat sich aber (nicht aus inhaltlichen oder atmosphärischen Gründen) zerschlagen und ich habe es auslaufen lassen.

Wer es genauer verfolgt, wird bemerkt haben, dass die Frequenz meiner Postings hier nach Februar deutlich gegen 0 strebte und ich wieder meine Zeit auf die eigenen Blogs fokussiere. Der obige Post war schlicht so etwas wie Nostalgie - tue der Site was gutes, ohne viel Arbeit rein zu stecken (wasch mir den Pelz, aber mache mich nicht nass, war retroperspektiv ein Fehler und ich hätte es sein lassen sollen). Habe aber die Diskussionen hier zum Anlass genommen, die Postings bei admin.de künftig einzustellen - oder werde es auf wenige Sonderfälle beschränken (es sei denn, es gibt irgendwann wieder eine Vereinbarung mit Frank).

Und zum Thema: 'in deinen Blog locken' nur so viel. Wenn ich einen englischsprachigen Blog-Post erstelle und den in der G+ Community von Microsoft oder in einer FB-Gruppe poste, kommen da wesentlich mehr Besucher in die Blogs als zu Zeiten, wo ich hier gepostet habe. Und das beschränkt sich dann auf Link und ein paar Wortfetzen einstellen (quasi Null Arbeit).

Damit soll es gut sein - originäres Ziel war es, auf einen Sachverhalt hinzuweisen. Ist nicht so wie geplant angekommen - ok, über die Form der Art Original-Links direkt einstellen, mag man diskutieren, sei es drum - die Erklärung steckt im obigen Text. Dass sich jetzt die Diskussion in mehreren Postings im Thread um Nebenkriegsschauplätze dreht, bringt keinen weiter. Also lasst uns dieses Fass hier zu machen. Wer die Beiträge von mir mag, kommt in den Blogs vorbei, wer es für Gefasel hält, lässt es halt bleiben - plain und easy, als Blogger stelle ich mich eh täglich den Leuten zur Abstimmung mit den Füßen. Und für die geneigten Leser hat der Post hier die Hintergründe erläutert. Ich denke, Frank wird es ähnlich sehen. In diesem Sinne.

PS: Ich lasse die Kommentare noch offen, vielleicht kommt zum eigentlichen Thema Zip Slip noch was rum.
Bitte warten ..
Ähnliche Inhalte
Datenschutz

Sicherheitslücken bei Stromtankstellen

Information von Penny.CilinDatenschutz

Hallo, ein weiterer Grund bezüglich E-Automobilität vorsichtig zu sein. Wie man lesen kann, ist auch hier die Sicherheit nicht ...

Entwicklung

Neue 7 Zip Version

Information von sabinesEntwicklung1 Kommentar

Die Version 18.05 ist vor kurzem erschienen und schließt einige Lücken Näheres hier:

Sicherheit

Sicherheitsrisiko: Die Krux mit 7-Zip

Information von kgbornSicherheit11 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Datenschutz

Sicherheitslücke im vernetzten Staubsauger-Roboter

Information von Penny.CilinDatenschutz5 Kommentare

Hallo, auch wenn es nur einen vernetzten Staubsauger-Roboter aus China betrifft, durch den Leak wurde zudem herausgefunden, welche Daten ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 2 TagenAusbildung35 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 4 TagenSpeicherkarten5 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 4 TagenSicherheit1 Kommentar

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 5 TagenHardware4 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Passwortwechsel Zeitpunkt festlegen
Frage von Looser27Windows Userverwaltung27 Kommentare

Guten Morgen liebe Kolleginnen und Kollegen, da es eine Userin in meinem Urlaub geschafft hat, sich vom AD vollständig ...

Windows Server
Probleme im AD am Außenstandort
gelöst Frage von emeriksWindows Server19 Kommentare

Hi, wir haben ein Problem mit AD und GPO am Außenstandort und ich stehe momentan mächtig auf dem Schlauch. ...

Switche und Hubs
POE-Switche
gelöst Frage von MiStSwitche und Hubs13 Kommentare

Guten Morgen, ich überlege ob ich in unserem Netzwerk die aktuellen Switche (D-LINK DGS-1210-28) durch PoE-Switche ersetzen soll. Der ...

Windows Server
DNS - Bedingte Weiterleitung
gelöst Frage von m8ichaelWindows Server11 Kommentare

Guten Tag zusammen, ich stehe gerade bzgl. einer bedingten DNS-Weiterleitung etwas auf dem Schlauch: Ich möchte, dass für bestimmte ...