[vuln.sg] ZIP with Pass におけるディレクトリトラバーサルの脆弱性

ZIP with Pass には、ディレクトリトラバーサルの脆弱性が存在する。悪意のある人は、この脆弱性を利用し解凍場所を越えたディレクトリにファイルを上書させる事ができる。

ZIP with Pass　には、ディレクトリトラバーサルの脆弱性が存在する。悪意のある人は、この脆弱性を利用し解凍場所を越えたディレクトリにファイルを上書きさせる事ができる。

ZIP with Pass　は、圧縮ファイルを解凍するとき、ファイルの名に「../」を含むかどうか、適切に検査しないから、ディレクトリトラバーサルの脆弱性が存在する。遠隔の第三者は、この脆弱性を使用する細工した圧縮ファイルをユーザに解凍させることで、解凍場所を越えたディレクトリにファイルを上書きさせる可能性がある。

For example, a malicious archive can contain a compressed file with the following filename:

/../../../../../../../../mnt/sdcard/DCIM/zipPOC.txt

脆弱性を確認するための圧縮ファイルはこちらである。確認する方法は下記である。

Instructions for testing Directory Traversal in Archive Extraction　（確認する方法は下記である）:

Copy the POC ZIP archive into the Download directory of your Android device.

確認する圧縮ファイルは /mnt/sdcard/Download にコピーしてください。

IMPORTANT: Ensure that the /mnt/sdcard/DCIM/ directory exists on your Android device in order for the POC to work.

注意：　確認するために /mnt/sdcard/DCIM/ フォルダが必要である。
Extract the POC ZIP archive into the Download directory. i.e. choose "UnArchive" button

確認する圧縮ファイルは /mnt/sdcard/Download に解凍してください。

When the extraction completes, navigate to the /mnt/sdcard/DCIM directory. You'll notice that zipPOC.txt has been extracted into /mnt/sdcard/DCIM/zipPOC.txt instead of into /mnt/sdcard/Download/zipPOC.txt.

解凍終わった後、zipPOC.txt ファイルは　/mnt/sdcard/Download フォルダを越えて、/mnt/sdcard/DCIM フォルダに解凍されたことを確認してください。

Hence, by tricking a user to extract a specially-crafted archive, an attacker can potentially exploit this issue to write files into arbitrary locations within the SD card in the user's Android device, or to overwrite files in known locations within the SD card.

For example, an attacker who is aware of the filenames of the user's photo in the /mnt/sdcard/DCIM/ directory can exploit this vulnerability to overwrite the user's photo files.

2013年05月22日　-　脆弱性の発見。
2013年05月23日　-　ベンダーに報告しました（ベンダーは返事しない）。
2013年05月24日　-　ベンダーに報告しました（ベンダーは返事しない）。
2013年05月26日　-　ベンダーに報告しました（ベンダーは返事しない）。
2013年05月28日　-　ベンダーに報告しました（ベンダーは返事しない）。
2013年05月31日　-　本脆弱性の公開。