描述

spring-integration-zip，1.0.4 之前的版本存在任意檔案寫入漏洞，可藉由特製的 zip 壓縮檔（也影響其他壓縮檔，如 bzip2、tar、xz、war、cpio、7z）達成，該壓縮檔包含路徑遍歷檔名。因此，當檔名與目標解壓縮目錄串連時，最終路徑會落在目標資料夾之外。先前的 cve-2018-1263 阻止了框架解壓縮一般遍歷檔名。包含解壓縮工作目錄的特殊檔名，仍然可以從該工作目錄中溜走。這特別適用於 unzip 轉換器。只有在使用此函式庫的應用程式接受並解壓縮來自不受信任來源的 zip 檔案時，才會發生這種情況。

受影響的 Spring 產品和版本

• Spring Integration Zip 社群擴充套件專案
  • 1.0.3.RELEASE 及更早版本

緩解措施

受影響版本的用戶應套用以下緩解措施，或不要解壓縮不受信任的 zip 檔案

• Spring Integration Zip 社群擴充套件專案
  • 1.0.4.RELEASE

鳴謝

此問題由 Viettel Cyber Security 的 Trung Pham 發現並負責地回報。

參考資料

• https://tanzu.vmware.com/security/cve-2018-1263
• https://tanzu.vmware.com/security/cve-2018-1261

歷史紀錄

• 2021-01-28：修正已更新
• 2018-05-09：原始緩解修正發布