6 月に初めて出現した「Zip Slip」脆弱性により、新たな被害者、Apache Hadoop YARN NodeManager デーモンが生まれました。
.zip ファイルがチップを沈める: 汚染されたアーカイブがコンピューターをハッキングする方法
続きを読む
ApacheのAkira Ajisaka氏がこのバグをこちらで公開しました。Zip Slipは、Apache Hadoop 3.1.1、3.0.3、2.8.5、2.7.7を除くすべてのバージョンと、JBoss Fuse 6.0および7.0に影響します。
Hadoop の場合、NodeManager デーモンと同様に、この脆弱性は分散キャッシュ内のパブリック アーカイブを使用する実装に影響します。
開示情報によると、このバグにより「クラスタユーザーがパブリックアーカイブを公開できるようになり、YARN NodeManagerデーモンを実行しているユーザーが所有する他のファイルに影響を与える可能性があります。影響を受けるファイルが、ノード上で既にローカライズされている別のパブリックアーカイブに属している場合、そのパブリックアーカイブを使用している他のクラスタユーザーのジョブにコードが挿入される可能性があります。」
Zip Slipが初めて公開された際に説明したように、このバグは圧縮アーカイブを解凍するあらゆるコードに影響します。攻撃者は、ファイル名の不適切なサニタリングを悪用し、解凍したファイルの保存先を標的システム上の既存のフォルダまたはファイルに設定することが可能です。
Miraiを使ってLinuxボットネットを構築しようとしているマルウェアスカム
続きを読む
したがって、攻撃者のファイルはシステム上の任意の場所にある既存のデータを上書きすることができ、6 月に指摘したように、「これにより、悪意のある人物がスクリプト ファイルに任意のコマンドを挿入したり、実行ファイルを変更したりして、不正行為を行うことができます。」
Apacheは6月に別のパッケージでZip Slipの脆弱性を既に軽減していました。組織のCVEリストのエントリによると、この問題が最初に報告されたのは4月だったため、YARNの修正はより困難だったようです。
今週初めに Netscout が、YARN が Mirai 攻撃の媒介としての役割を担っていることを明らかにしたことから、YARN にとっては厳しい一週間となりました。®
