Spring Security 公告

RSS feed

CVE-2018-1261:spring-integration-zip 的不安全 Unzip

严重 | 2018年5月09日 | CVE-2018-1261

描述

spring-integration-zip,1.0.1 之前的版本,存在任意文件写入漏洞,可以通过使用特制的 zip 存档(也影响其他存档,bzip2、tar、xz、war、cpio、7z)来实现,该存档包含路径遍历文件名。 因此,当文件名连接到目标提取目录时,最终路径会超出目标文件夹。

这尤其适用于 unzip 转换器。

只有在使用此库的应用程序接受并解压缩来自不受信任来源的 zip 文件时才会发生这种情况。

受影响的 Spring 产品和版本

  • Spring Integration Zip Community Extension Project 版本 1.0.0.RELEASE

缓解措施

受影响版本的用户应采取以下缓解措施

  • 升级到 1.0.1.RELEASE

或者不要解压不受信任的 zip 文件。

鸣谢

此问题由 Snyk Security Research Team 发现并负责任地报告。

历史

2018-05-09:发布初始漏洞报告

报告漏洞

要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略

领先一步

VMware 提供培训和认证,以加速您的进步。

了解更多

获取支持

Tanzu Spring 在一个简单的订阅中提供对 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区中所有即将举行的活动。

查看全部