Проблема Zip Slip представляет опасность для Apache Hadoop YARN - «Новости»
sitename
Серверы российского производства Sitronics
Серверы российского производства Sitronics
 День сурка на ПК: обновление KB5048239 для Windows 10 требует установить его снова и снова - «Новости сети»
День сурка на ПК: обновление KB5048239 для Windows 10 требует установить его снова и снова - «Новости сети»
 Авиакомпания Qantas вынуждена переносить рейсы из-за падающих с неба обломков ракет SpaceX - «Новости сети»
Авиакомпания Qantas вынуждена переносить рейсы из-за падающих с неба обломков ракет SpaceX - «Новости сети»
 Asus представила разъём питания BTF 2.0 для подачи на видеокарту до 1000 Вт без проводов - «Новости сети»
Asus представила разъём питания BTF 2.0 для подачи на видеокарту до 1000 Вт без проводов - «Новости сети»
 Стала известна причина всероссийского сбоя интернета - «Новости сети»
Стала известна причина всероссийского сбоя интернета - «Новости сети»
 Жители России лишились доступа в интернет из-за массового сбоя - «Новости сети»
Жители России лишились доступа в интернет из-за массового сбоя - «Новости сети»
 Защита форм - безопасно защищает формы на вашем сайте от спама
Защита форм - безопасно защищает формы на вашем сайте от спама
 «Fallout 5 уже здесь»: геймплей ролевого экшена Atomfall про постъядерную Англию понравился игрокам - «Новости сети»
«Fallout 5 уже здесь»: геймплей ролевого экшена Atomfall про постъядерную Англию понравился игрокам - «Новости сети»
 Теперь каждый может обучить себе рассуждающий ИИ всего за $450 — открыт исходный код Sky-T1 - «Новости сети»
Теперь каждый может обучить себе рассуждающий ИИ всего за $450 — открыт исходный код Sky-T1 - «Новости сети»
 ИИ заменит человека в качестве основного пользователя приложений к 2030 году - «Новости сети»
ИИ заменит человека в качестве основного пользователя приложений к 2030 году - «Новости сети»
Новости мира Интернет » Новости » Проблема Zip Slip представляет опасность для Apache Hadoop YARN - «Новости»

✔Проблема Zip Slip представляет опасность для Apache Hadoop YARN - «Новости»

27 ноября 2018 640 Новости 0

Об уязвимости Zip Slip впервые стало известно летом текущего года. Тогда специалисты компании Synk рассказали о проблеме, затрагивающей различные опенсорсные библиотеки, ответственные за работу с файлами архивов. Обнаруженные проблемы затронули такие форматы, как .tar, .jar, .war, .cpio, .apk, .rar и .7z, то есть Zip Slip представляет опасность для множества разных проектов и экосистем, и позволяет атакующему добиться исполнения произвольного кода.


В корне проблемы Zip Slip лежит перезапись произвольных файлов, которую нужно использовать в сочетании с атакой на обход каталога, реализовать которую возможно во время извлечения файлов из архивов вышеперечисленных форматов.


Уже летом было ясно, что под угрозой оказались тысячи проектов, написанные на самых разных языках, включая jаvascript, Ruby, Java, .NET и Go, в том числе принадлежащих Google, Oracle, IBM, Apache, Amazon, Spring/Pivotal, Linkedin, Twitter, Alibaba, Eclipse, OWASP, ElasticSearch, JetBrains и так далее.


Теперь разработчики Apache выпустили предупреждение, в котором сообщили, что Zip Slip представляет опасность для всех версий Apache Hadoop, кроме 3.1.1, 3.0.3, 2.8.5 и 2.7.7, а также JBoss Fuse 6.0 и 7.0.


В случае Hadoop и демона NodeManager уязвимость угрожает имплементациям, которые используют публичные архивы в распределенном кеше. Согласно информации специалистов, проблема позволяет пользователю кластера опубликовать публичный архив, что может оказать прямое влияние на другие файлы, принадлежащие пользователю, работающему с YARN NodeManager. В итоге становится возможным осуществление инжектов в задания других пользователей кластера, использующих публичные архивы.


Эксперты настоятельно рекомендуют пользователям обновить Apache Hadoop до версий 2.7.7, 2.8.5, 2.9.2, 3.0.3 или 3.1.1.


Напомню, что разработчики уже патчили Apache против Zip Slip в июне текущего года, но, по всей видимости, исправить YARN оказалось сложнее, так как, согласно официальным данным, о вышеописанной проблеме впервые стало известно еще в апреле текущего года.


Источник новостиgoogle.com

Об уязвимости Zip Slip впервые стало известно летом текущего года. Тогда специалисты компании Synk рассказали о проблеме, затрагивающей различные опенсорсные библиотеки, ответственные за работу с файлами архивов. Обнаруженные проблемы затронули такие форматы, как .tar, .jar, .war, .cpio, .apk, .rar и .7z, то есть Zip Slip представляет опасность для множества разных проектов и экосистем, и позволяет атакующему добиться исполнения произвольного кода. В корне проблемы Zip Slip лежит перезапись произвольных файлов, которую нужно использовать в сочетании с атакой на обход каталога, реализовать которую возможно во время извлечения файлов из архивов вышеперечисленных форматов. Уже летом было ясно, что под угрозой оказались тысячи проектов, написанные на самых разных языках, включая j
CSS, Slip Apache представляет опасность YARN
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация