描述

spring-integration-zip（1.0.4 之前的版本）存在任意檔案寫入漏洞，可透過特製的 zip 壓縮包（也影響其他壓縮包，如 bzip2、tar、xz、war、cpio、7z）實現，該壓縮包包含路徑遍歷檔名。當檔名與目標解壓目錄拼接時，最終路徑會超出目標資料夾。之前的 CVE-2018-1263 阻止了框架解壓一般的遍歷檔名。而包含用於解壓的工作目錄的特殊檔名，仍然可以從該工作目錄中“滑出”。這尤其適用於解壓轉換器。此問題僅在應用程式使用此庫並接受和解壓來自不受信任來源的 zip 檔案時才會發生。

受影響的 Spring 產品和版本

• Spring Integration Zip 社群擴充套件專案
  • 1.0.3.RELEASE 及更早版本

緩解措施

受影響版本的使用者應採用以下緩解措施或不要解壓不受信任的 zip 檔案

• Spring Integration Zip 社群擴充套件專案
  • 1.0.4.RELEASE

致謝

此問題由 Viettel Cyber Security 的 Trung Pham 發現並負責任地報告。

參考資料

• https://tanzu.vmware.com/security/cve-2018-1263
• https://tanzu.vmware.com/security/cve-2018-1261

歷史

• 2021-01-28：修復更新
• 2018-05-09：原始緩解修復釋出