Проблема Zip Slip представляет опасность для Apache Hadoop YARN - «Новости»
sitename
NVIDIA приступила к производству ИИ-ускорителей GB300 / ServerNews - «Новости сети»
NVIDIA приступила к производству ИИ-ускорителей GB300 / ServerNews - «Новости сети»
 10 долгих лет: состоялся официальный запуск экзафлопсного суперкомпьютера Aurora / ServerNews - «Новости сети»
10 долгих лет: состоялся официальный запуск экзафлопсного суперкомпьютера Aurora / ServerNews - «Новости сети»
 «Больше похоже на Fallout, чем последние игры серии»: новый геймплей неофициального шутера Fallout: Bakersfield на движке Doom впечатлил фанатов - «Новости сети»
«Больше похоже на Fallout, чем последние игры серии»: новый геймплей неофициального шутера Fallout: Bakersfield на движке Doom впечатлил фанатов - «Новости сети»
 Cyberpunk 2077 протестировали на компьютерах Apple Mac с чипами от M1 до M4 - «Новости сети»
Cyberpunk 2077 протестировали на компьютерах Apple Mac с чипами от M1 до M4 - «Новости сети»
 Asus представила 31,5-дюймовый 6K-монитор ProArt Display 6K PA32QCV для профессионалов за $1299 - «Новости сети»
Asus представила 31,5-дюймовый 6K-монитор ProArt Display 6K PA32QCV для профессионалов за $1299 - «Новости сети»
 Microsoft передумала упрощать системный трей Windows 11 после негативных отзывов пользователей - «Новости сети»
Microsoft передумала упрощать системный трей Windows 11 после негативных отзывов пользователей - «Новости сети»
 Windows 11 25H2 не потерпит проблемных драйверов: Microsoft ужесточит тесты для сертификации - «Новости сети»
Windows 11 25H2 не потерпит проблемных драйверов: Microsoft ужесточит тесты для сертификации - «Новости сети»
 Возвращение к шутерам от первого лица: Ubisoft подтвердила разработку новой Ghost Recon - «Новости сети»
Возвращение к шутерам от первого лица: Ubisoft подтвердила разработку новой Ghost Recon - «Новости сети»
 В Mercedes-Benz создали самый мощный в мире 13-килограммовый электродвигатель - «Новости сети»
В Mercedes-Benz создали самый мощный в мире 13-килограммовый электродвигатель - «Новости сети»
 Bo Turbo — электросамокат с максимальной скоростью 160 км/ч и запасом хода 240 км - «Новости сети»
Bo Turbo — электросамокат с максимальной скоростью 160 км/ч и запасом хода 240 км - «Новости сети»
Новости мира Интернет » Новости » Проблема Zip Slip представляет опасность для Apache Hadoop YARN - «Новости»

✔Проблема Zip Slip представляет опасность для Apache Hadoop YARN - «Новости»

27 ноября 2018 775 Новости 0

Об уязвимости Zip Slip впервые стало известно летом текущего года. Тогда специалисты компании Synk рассказали о проблеме, затрагивающей различные опенсорсные библиотеки, ответственные за работу с файлами архивов. Обнаруженные проблемы затронули такие форматы, как .tar, .jar, .war, .cpio, .apk, .rar и .7z, то есть Zip Slip представляет опасность для множества разных проектов и экосистем, и позволяет атакующему добиться исполнения произвольного кода.


В корне проблемы Zip Slip лежит перезапись произвольных файлов, которую нужно использовать в сочетании с атакой на обход каталога, реализовать которую возможно во время извлечения файлов из архивов вышеперечисленных форматов.


Уже летом было ясно, что под угрозой оказались тысячи проектов, написанные на самых разных языках, включая jаvascript, Ruby, Java, .NET и Go, в том числе принадлежащих Google, Oracle, IBM, Apache, Amazon, Spring/Pivotal, Linkedin, Twitter, Alibaba, Eclipse, OWASP, ElasticSearch, JetBrains и так далее.


Теперь разработчики Apache выпустили предупреждение, в котором сообщили, что Zip Slip представляет опасность для всех версий Apache Hadoop, кроме 3.1.1, 3.0.3, 2.8.5 и 2.7.7, а также JBoss Fuse 6.0 и 7.0.


В случае Hadoop и демона NodeManager уязвимость угрожает имплементациям, которые используют публичные архивы в распределенном кеше. Согласно информации специалистов, проблема позволяет пользователю кластера опубликовать публичный архив, что может оказать прямое влияние на другие файлы, принадлежащие пользователю, работающему с YARN NodeManager. В итоге становится возможным осуществление инжектов в задания других пользователей кластера, использующих публичные архивы.


Эксперты настоятельно рекомендуют пользователям обновить Apache Hadoop до версий 2.7.7, 2.8.5, 2.9.2, 3.0.3 или 3.1.1.


Напомню, что разработчики уже патчили Apache против Zip Slip в июне текущего года, но, по всей видимости, исправить YARN оказалось сложнее, так как, согласно официальным данным, о вышеописанной проблеме впервые стало известно еще в апреле текущего года.


Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Об уязвимости Zip Slip впервые стало известно летом текущего года. Тогда специалисты компании Synk рассказали о проблеме, затрагивающей различные опенсорсные библиотеки, ответственные за работу с файлами архивов. Обнаруженные проблемы затронули такие форматы, как .tar, .jar, .war, .cpio, .apk, .rar и .7z, то есть Zip Slip представляет опасность для множества разных проектов и экосистем, и позволяет атакующему добиться исполнения произвольного кода. В корне проблемы Zip Slip лежит перезапись произвольных файлов, которую нужно использовать в сочетании с атакой на обход каталога, реализовать которую возможно во время извлечения файлов из архивов вышеперечисленных форматов. Уже летом было ясно, что под угрозой оказались тысячи проектов, написанные на самых разных языках, включая jаvascript, Ruby, Java, .NET и Go, в том числе принадлежащих Google, Oracle, IBM, Apache, Amazon, Spring/Pivotal, Linkedin, Twitter, Alibaba, Eclipse, OWASP, ElasticSearch, JetBrains и так далее. Теперь разработчики Apache выпустили предупреждение, в котором сообщили, что Zip Slip представляет опасность для всех версий Apache Hadoop, кроме 3.1.1, 3.0.3, 2.8.5 и 2.7.7, а также JBoss Fuse 6.0 и 7.0. В случае Hadoop и демона NodeManager уязвимость угрожает имплементациям, которые используют публичные архивы в распределенном кеше. Согласно информации специалистов, проблема позволяет пользователю кластера опубликовать публичный архив, что может оказать прямое влияние на другие файлы, принадлежащие пользователю, работающему с YARN NodeManager. В итоге становится возможным осуществление инжектов в задания других пользователей кластера, использующих публичные архивы. Эксперты настоятельно рекомендуют пользователям обновить Apache Hadoop до версий 2.7.7, 2.8.5, 2.9.2, 3.0.3 или 3.1.1. Напомню, что разработчики уже патчили Apache против Zip Slip в июне текущего года, но, по всей видимости, исправить YARN оказалось сложнее, так как, согласно официальным данным, о вышеописанной проблеме впервые стало известно еще в апреле текущего года. Источник новости - google.com
CSS, Slip Apache представляет опасность YARN
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация