forum.opennet.ru - "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за пределы базового каталога" (23)

"Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за пределы базового каталога"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за пределы базового каталога"	+/–
Сообщение от opennews (?), 18-Авг-25, 10:52
В NPM-пакете tar-fs выявлена... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63740
Ответить \| Правка \| Cообщить модератору

Оглавление

А это нормально, когда уязвимость в NPM, а в качестве примера код на python , Аноним (2), 11:07 , 18-Авг-25, (2) +1

код, подготавливающий проблемный файл, может быть на любом языке, Аноним (10), 11:45 , 18-Авг-25, (10) +1
Эт че, в NPM опять что то корявое выложили Они там концептуально не обучаемые по, Аноним (13), 12:15 , 18-Авг-25, (13) –3

Косяки с разбором путей и симлинков во всех языках встречаются, особенно часто в, Аноним (28), 13:48 , 18-Авг-25, (28)

надо было NPM на безопасном языке писать , Аноним (31), 14:07 , 18-Авг-25, (31)

Нужен язык для безопасной работы с символическими ссылками , Аноним (3), 11:09 , 18-Авг-25, (3) +8

как насчет RUST там у них есть unsafe есть что возразить , Аноним (13), 12:16 , 18-Авг-25, (14) +1

Так а кто там проверяет символические ссылки, чекер боровов проверяет , Аноним (17), 12:33 , 18-Авг-25, (17)
Надо запрос разработчикам запилить Что бы добавили в язык безопасность работы с, Аноним (22), 12:55 , 18-Авг-25, (22)
в расте ссылки проверятся на этапе компиляции с zero-cost ценой , Аноним (31), 14:08 , 18-Авг-25, (32)

chroot, Аноним (27), 13:22 , 18-Авг-25, (27)

Почему программисты тупо не умеют работать с Что сложного, а , Аноним (4), 11:18 , 18-Авг-25, (4) –5

Ты тоже не умеешь, Аноним (5), 11:18 , 18-Авг-25, (5) +4
Важное уточнение - программисты яваскрипт , Аноним (6), 11:20 , 18-Авг-25, (6) –1

Не знал, что 7-zip написан на яваскрипт , Аноним (23), 13:01 , 18-Авг-25, (23) +1

Интернет система , ой у нас уязвимость мы вышли за пределы интернета Собираем н, Аноним (9), 11:41 , 18-Авг-25, (9)

Есть хороший лайфхак по генерированию новостей - смотришь в NPM репах с чем та, Аноним (13), 12:19 , 18-Авг-25, (15) +2

Господа, так может следует сначала просто определиться, разрешено ли вообще архи, Аноним (13), 12:13 , 18-Авг-25, (12) –1

Я могу положить внутрь архива символическую ссылку с путём nop и содержимым , Аноним (16), 12:29 , 18-Авг-25, (16)

Я так прикинул, в симлинках же можно любой путь указать, в том числе абсолютный , Аноним (16), 12:38 , 18-Авг-25, (19)

Вот почему я предпочитаю ACE , Анон1110м (?), 12:49 , 18-Авг-25, (21) –1

Что такое ACE , Аноним (-), 13:09 , 18-Авг-25, (24)
тетя Ася плохого не посоветует, Аноним (29), 13:48 , 18-Авг-25, (29)

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 18-Авг-25, 11:07 +1 +/–

А это нормально, когда уязвимость в NPM, а в качестве примера код на python ?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #13, #31

3. Сообщение от Аноним (3), 18-Авг-25, 11:09 +8 +/–

Нужен язык для безопасной работы с символическими ссылками.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #27

4. Сообщение от Аноним (4), 18-Авг-25, 11:18 –5 +/–

Почему программисты тупо не умеют работать с ../../ ? Что сложного, а?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #6

5. Сообщение от Аноним (5), 18-Авг-25, 11:18 +4 +/–

Ты тоже не умеешь

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

6. Сообщение от Аноним (6), 18-Авг-25, 11:20 –1 +/–

Важное уточнение - программисты яваскрипт.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #23

9. Сообщение от Аноним (9), 18-Авг-25, 11:41 +/–

Интернет система , ой у нас уязвимость мы вышли за пределы интернета. Собираем на мак с помощью linux /.../.../.../ , ой а чё это мы собираем linux библиотеки на мак , опять вышли за пределы эипла. Вот на что похожи эти новости

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

10. Сообщение от Аноним (10), 18-Авг-25, 11:45 +1 +/–

код, подготавливающий проблемный файл, может быть на любом языке

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

12. Сообщение от Аноним (13), 18-Авг-25, 12:13 –1 +/–

Господа, так может следует сначала просто определиться, разрешено ли вообще архиватору распаковывать файлы куда угодно, кроме того каталога в котором лежит файл (естественно при наличии соотвествующих прав доступа в файловой системе). А именно это я прочитал в новости - "в любые части ФС, не ограниченные каталогом, в который осуществляется распаковка"
Например достопочтенный гуевый винрар (как и 7zip), позволяют пользователю вручную указать директорию для распаковки (пока не учитываем "специально подготовленные архивы" с кривыми путями) - вот это хорошо или плохо?
Может вопрос-то просто в корявой обработке путей архиваторами?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

13. Сообщение от Аноним (13), 18-Авг-25, 12:15 –3 +/–

Эт че, в NPM опять что то корявое выложили?
Они там концептуально не обучаемые походу, эти NPM-щики.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #28

14. Сообщение от Аноним (13), 18-Авг-25, 12:16 +1 +/–

как насчет RUST?
там у них есть unsafe!
есть что возразить?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #17, #22, #32

15. Сообщение от Аноним (13), 18-Авг-25, 12:19 +2 +/–

Есть хороший лайфхак по генерированию "новостей" - смотришь в NPM репах с чем там они на этой неделе обосрались, и у тебя куча контента.
Если не прокатило - вспоминаем, что в NPM теперь можно подключать сторонние репы, и далее переходим к пункту 1.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

16. Сообщение от Аноним (16), 18-Авг-25, 12:29 +/–

Я могу положить внутрь архива символическую ссылку с путём "nop" и содержимым ".", а следом за ней ещё одну символическую ссылку "yousuckatparsingsymlinks" с содержимым "nop/nop/nop/..". Всё, теперь следующий файл кладём с путём "yousuckatparsingsymlinks/outoffolder", и при распаковке он окажется снаружи папки, куда ты распаковывал архив. Проблема элементарная - забыли в режиме ограничения пути распаковки (по дефолту tar позволяет любые пути в нём записать, что удобно для тех же обновлений системы) разыменовывать содержимое симлинков и проверять уже реальный путь, куда они будут указывать. Тут даже парсер переписывать не надо - только readlink делать при встрече любой симлинки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #19

17. Сообщение от Аноним (17), 18-Авг-25, 12:33 +/–

Так а кто там проверяет символические ссылки, чекер боровов проверяет?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

19. Сообщение от Аноним (16), 18-Авг-25, 12:38 +/–

Я так прикинул, в симлинках же можно любой путь указать, в том числе абсолютный "/tmp" или "/etc". Если не проверяется реальный путь с подставлением содержимого симлинки, то наверное не проверяется и то, что в симлинке лежит абсолютное перенаправление, которым можно сразу попасть в нужную часть FS.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

21. Сообщение от Анон1110м (?), 18-Авг-25, 12:49 –1 +/–

Вот почему я предпочитаю ACE.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #29

22. Сообщение от Аноним (22), 18-Авг-25, 12:55 +/–

Надо запрос разработчикам запилить. Что бы добавили в язык безопасность работы с символическими ссылками.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

23. Сообщение от Аноним (23), 18-Авг-25, 13:01 +1 +/–

Не знал, что 7-zip написан на яваскрипт.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

24. Сообщение от Аноним (-), 18-Авг-25, 13:09 +/–

Что такое ACE?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

27. Сообщение от Аноним (27), 18-Авг-25, 13:22 +/–

chroot

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

28. Сообщение от Аноним (28), 18-Авг-25, 13:48 +/–

Косяки с разбором путей и симлинков во всех языках встречаются, особенно часто в либах на Cи, NPM тут не причем. Кстати, прям в этой же новости - в 7zip тоже npm виноват?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

29. Сообщение от Аноним (29), 18-Авг-25, 13:48 +/–

тетя Ася плохого не посоветует

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

31. Сообщение от Аноним (31), 18-Авг-25, 14:07 +/–

> уязвимость в NPM
надо было NPM на безопасном языке писать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

32. Сообщение от Аноним (31), 18-Авг-25, 14:08 +/–

в расте ссылки проверятся на этапе компиляции с zero-cost ценой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. Сообщение от Аноним (2), 18-Авг-25, 11:07	+1 +/–
А это нормально, когда уязвимость в NPM, а в качестве примера код на python ?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #10, #13, #31

3. Сообщение от Аноним (3), 18-Авг-25, 11:09	+8 +/–
Нужен язык для безопасной работы с символическими ссылками.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #14, #27

4. Сообщение от Аноним (4), 18-Авг-25, 11:18	–5 +/–
Почему программисты тупо не умеют работать с ../../ ? Что сложного, а?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #5, #6

5. Сообщение от Аноним (5), 18-Авг-25, 11:18	+4 +/–
Ты тоже не умеешь
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

6. Сообщение от Аноним (6), 18-Авг-25, 11:20	–1 +/–
Важное уточнение - программисты яваскрипт.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #23

9. Сообщение от Аноним (9), 18-Авг-25, 11:41	+/–
Интернет система , ой у нас уязвимость мы вышли за пределы интернета. Собираем на мак с помощью linux /.../.../.../ , ой а чё это мы собираем linux библиотеки на мак , опять вышли за пределы эипла. Вот на что похожи эти новости
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #15

10. Сообщение от Аноним (10), 18-Авг-25, 11:45	+1 +/–
код, подготавливающий проблемный файл, может быть на любом языке
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

12. Сообщение от Аноним (13), 18-Авг-25, 12:13	–1 +/–
Господа, так может следует сначала просто определиться, разрешено ли вообще архиватору распаковывать файлы куда угодно, кроме того каталога в котором лежит файл (естественно при наличии соотвествующих прав доступа в файловой системе). А именно это я прочитал в новости - "в любые части ФС, не ограниченные каталогом, в который осуществляется распаковка" Например достопочтенный гуевый винрар (как и 7zip), позволяют пользователю вручную указать директорию для распаковки (пока не учитываем "специально подготовленные архивы" с кривыми путями) - вот это хорошо или плохо? Может вопрос-то просто в корявой обработке путей архиваторами?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #16

13. Сообщение от Аноним (13), 18-Авг-25, 12:15	–3 +/–
Эт че, в NPM опять что то корявое выложили? Они там концептуально не обучаемые походу, эти NPM-щики.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #28

14. Сообщение от Аноним (13), 18-Авг-25, 12:16	+1 +/–
как насчет RUST? там у них есть unsafe! есть что возразить?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #17, #22, #32

15. Сообщение от Аноним (13), 18-Авг-25, 12:19	+2 +/–
Есть хороший лайфхак по генерированию "новостей" - смотришь в NPM репах с чем там они на этой неделе обосрались, и у тебя куча контента. Если не прокатило - вспоминаем, что в NPM теперь можно подключать сторонние репы, и далее переходим к пункту 1.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

16. Сообщение от Аноним (16), 18-Авг-25, 12:29	+/–
Я могу положить внутрь архива символическую ссылку с путём "nop" и содержимым ".", а следом за ней ещё одну символическую ссылку "yousuckatparsingsymlinks" с содержимым "nop/nop/nop/..". Всё, теперь следующий файл кладём с путём "yousuckatparsingsymlinks/outoffolder", и при распаковке он окажется снаружи папки, куда ты распаковывал архив. Проблема элементарная - забыли в режиме ограничения пути распаковки (по дефолту tar позволяет любые пути в нём записать, что удобно для тех же обновлений системы) разыменовывать содержимое симлинков и проверять уже реальный путь, куда они будут указывать. Тут даже парсер переписывать не надо - только readlink делать при встрече любой симлинки.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #19

17. Сообщение от Аноним (17), 18-Авг-25, 12:33	+/–
Так а кто там проверяет символические ссылки, чекер боровов проверяет?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

19. Сообщение от Аноним (16), 18-Авг-25, 12:38	+/–
Я так прикинул, в симлинках же можно любой путь указать, в том числе абсолютный "/tmp" или "/etc". Если не проверяется реальный путь с подставлением содержимого симлинки, то наверное не проверяется и то, что в симлинке лежит абсолютное перенаправление, которым можно сразу попасть в нужную часть FS.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16

21. Сообщение от Анон1110м (?), 18-Авг-25, 12:49	–1 +/–
Вот почему я предпочитаю ACE.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #24, #29

22. Сообщение от Аноним (22), 18-Авг-25, 12:55	+/–
Надо запрос разработчикам запилить. Что бы добавили в язык безопасность работы с символическими ссылками.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

23. Сообщение от Аноним (23), 18-Авг-25, 13:01	+1 +/–
Не знал, что 7-zip написан на яваскрипт.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

24. Сообщение от Аноним (-), 18-Авг-25, 13:09	+/–
Что такое ACE?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

27. Сообщение от Аноним (27), 18-Авг-25, 13:22	+/–
chroot
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

28. Сообщение от Аноним (28), 18-Авг-25, 13:48	+/–
Косяки с разбором путей и симлинков во всех языках встречаются, особенно часто в либах на Cи, NPM тут не причем. Кстати, прям в этой же новости - в 7zip тоже npm виноват?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

29. Сообщение от Аноним (29), 18-Авг-25, 13:48	+/–
тетя Ася плохого не посоветует
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

31. Сообщение от Аноним (31), 18-Авг-25, 14:07	+/–
> уязвимость в NPM надо было NPM на безопасном языке писать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

32. Сообщение от Аноним (31), 18-Авг-25, 14:08	+/–
в расте ссылки проверятся на этапе компиляции с zero-cost ценой.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14