描述

spring-integration-zip，1.0.4 之前的版本，暴露了一个任意文件写入漏洞，可以通过使用特别制作的 zip 归档文件（也会影响其他归档文件，例如 bzip2、tar、xz、war、cpio、7z）来实现，该归档文件包含路径遍历文件名。因此，当文件名连接到目标提取目录时，最终路径会位于目标文件夹之外。之前的 cve-2018-1263 阻止了框架解压缩常规遍历文件名。包含解压缩工作目录的特殊文件名仍然可能从该工作目录中逃逸。这特别适用于解压缩转换器。只有当使用此库的应用程序接受并解压缩来自不受信任来源的 zip 文件时，才会发生这种情况。

受影响的 Spring 产品和版本

• Spring Integration Zip 社区扩展项目
  • 1.0.3.RELEASE 及更早版本

缓解措施

受影响版本的用户应应用以下缓解措施，或者不要解压缩不受信任的 zip 文件

• Spring Integration Zip 社区扩展项目
  • 1.0.4.RELEASE

鸣谢

此问题由 Viettel Cyber Security 的 Trung Pham 发现并负责任地报告。

参考

• https://tanzu.vmware.com/security/cve-2018-1263
• https://tanzu.vmware.com/security/cve-2018-1261

历史

• 2021-01-28：修复更新
• 2018-05-09：原始缓解修复发布