ចំណុចរងគ្រោះនៅលើ ‘Zip Slip’ ឆ្លងទៅកាន់គម្រោងជាច្រើនរាប់ពាន់នៃប្រព័ន្ធ Ecosystems

0

ក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាពនៅក្នុងក្រុមហ៊ុន Snyk នៅក្នុងចក្រភពអង់គ្លេសទម្លាយនូវព័ត៌មានជាច្រើននៃកំហុសឆ្គងដ៏ធ្ងន់ធ្ងរដែលឆ្លងទៅលើគម្រោងរាប់ពាន់នៅលើប្រព័ន្ធ ecosystems និងអនុញ្ញាតឱ្យអ្នកវាយប្រហារជាច្រើនទទួលនូវការប្រតិបត្តិនូវកូដនៅលើប្រព័ន្ធគោលដៅជាច្រើន។ បញ្ហានេះត្រូវគេដាក់ឈ្មោះថា “Zip Slip” ដែលមានកំហុសឆ្គងទៅលើ file overwrite ដែលមានការឆ្លងទៅលើប្រព័ន្ធនេះរួមមាននូវ Formats ជាច្រើនដូចជាប្រភេទ tar, jar, war, cpio, apk, rar និង 7z ។

គម្រោងរាប់ពាន់ជាច្រើនត្រូវប្រើប្រាស់នូវកម្មវិធី programming languages ជាច្រើនដូចជា JavaScript, Ruby, Java, .NET និង Go— ចេញពី Google, Oracle, IBM, Apache, Amazon, Spring/Pivotal, Linkedin, Twitter, Alibaba, Eclipse, OWASP, ElasticSearch, JetBrains និងជាច្រើនទៀតក៏មាននូវ Codes និង Libraries ជាច្រើន។ នៅក្នុងកំហុសនៅលើ Codes និង Libraries នេះអនុញ្ញាត​​​ឱ្យអ្នកវាយប្រហារធ្វើការបើកទៅលើ Folder ស្ថិតនៅក្នុងនេះបាន។

នៅក្នុងការវាយប្រហារនៃ Zip Slip អ្នកវាយប្រហារអាចធ្វើការប្រតិបត្តិនៃការ overwrite ទៅលើ files ឬ configuration files ក្នុងការបោកបញ្ឆោទទៅលើប្រព័ន្ធគោលដៅរបស់អ្នកប្រើប្រាស់ និងការប្រតិបត្តិទៅលើការបញ្ជាពីចម្ងាយ។ ក្រុមហ៊ុនក៏បញ្ចេញនូវ proof-of-concept Zip Slip ជាមួយនឹងវីដេអូដែលបង្ហាញអំពីការវាយប្រហារនៅលើចំណុចរងគ្រោះនៃ Zip Slip នេះ៕

ប្រភព៖

https://thehackernews.com/2018/06/zipslip-vulnerability.html

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here