The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за пределы базового каталога"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за пределы базового каталога"  +/
Сообщение от opennews (?), 18-Авг-25, 10:52 
В NPM-пакете tar-fs выявлена...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63740

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (2), 18-Авг-25, 11:07 
А это нормально, когда уязвимость в  NPM, а в качестве примера код на python ?
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +8 +/
Сообщение от Аноним (10), 18-Авг-25, 11:45 
код, подготавливающий проблемный файл, может быть на любом языке
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  –3 +/
Сообщение от Аноним (13), 18-Авг-25, 12:15 
Эт че, в NPM опять что то корявое выложили?
Они там концептуально не обучаемые походу, эти NPM-щики.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

28. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  –2 +/
Сообщение от Аноним (28), 18-Авг-25, 13:48 
Косяки с разбором путей и симлинков во всех языках встречаются, особенно часто в либах на Cи, NPM тут не причем. Кстати, прям в этой же новости - в 7zip тоже npm виноват?
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от попамира (?), 18-Авг-25, 18:55 
Так питон это как npm, только работает лучше. Если бы в мире не было столько фронт раззработчиков ноджс и не появился бы никогда, но природа берёт своё.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

74. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (-), 19-Авг-25, 10:52 
> Так питон это как npm, только работает лучше.

В смысле, тормозит в разы злее, память жрет и совместимость все время ломают?

> Если бы в мире не было столько фронт раззработчиков ноджс и не появился бы
> никогда, но природа берёт своё.

Питон вообще ни для чего нормально не годится. Хотя, вот, макеты программ нормально делать. Чтобы потом переписать на более приличном - если идея не совсем отстой.

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +16 +/
Сообщение от Аноним (3), 18-Авг-25, 11:09 
Нужен язык для безопасной работы с символическими ссылками.
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (13), 18-Авг-25, 12:16 
как насчет RUST?
там у них есть unsafe!
есть что возразить?
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +2 +/
Сообщение от Аноним (17), 18-Авг-25, 12:33 
Так а кто там проверяет символические ссылки, чекер боровов проверяет?
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  –2 +/
Сообщение от Анонимъemail (?), 18-Авг-25, 17:41 
В std::fs есть штатный нормализатор путей, ресольвящий ссылки.
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (52), 18-Авг-25, 19:39 
И?...  Есть - не значит: обязано быть использовано.
Ответить | Правка | Наверх | Cообщить модератору

67. Скрыто модератором  +/
Сообщение от User (??), 19-Авг-25, 07:51 
Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  –1 +/
Сообщение от Аноним (-), 19-Авг-25, 08:50 
> В std::fs есть штатный нормализатор путей, ресольвящий ссылки.

А в нем CVE нет? Кто-то проверял? А то прошлый раз CVE в стдлибе хpyстa как раз и был, правда, только для винды. Но все равно забавно.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

73. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (28), 19-Авг-25, 09:33 
Так и в nodejs тоже есть, но тут CVE в другом - архив был сделан специально так, чтобы выйти за пределы папки распаковки.
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

22. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (22), 18-Авг-25, 12:55 
Надо запрос разработчикам запилить. Что бы добавили в язык безопасность работы с символическими ссылками.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

32. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (32), 18-Авг-25, 14:08 
в расте ссылки проверятся на этапе компиляции с zero-cost ценой.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

35. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  –2 +/
Сообщение от Аноним (35), 18-Авг-25, 14:58 
Ну дык... Плюсовый llvm же
Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от fedor (??), 18-Авг-25, 23:19 
на низкую культуру производства ни один инструмент повлиять не в силах.
в норм проектах будут делать статический аудит пакетов, остальные хорошее всё равно не напишут.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

27. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (27), 18-Авг-25, 13:22 
chroot
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

61. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от cheburnator9000 (ok), 18-Авг-25, 20:51 
Не нужен правильный язык, программисты и на Rust допустят такие ошибки.
Нужно проверять в каком каталоге создается каждый файл/каталог.
Архив по сути распаковывается только в указанный каталог.
Если пользователь указал /usr значит это и будет верхний каталог распаковки.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  –5 +/
Сообщение от Аноним (4), 18-Авг-25, 11:18 
Почему программисты тупо не умеют работать с ../../ ? Что сложного, а?
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +4 +/
Сообщение от Аноним (35), 18-Авг-25, 11:18 
Ты тоже не умеешь
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  –4 +/
Сообщение от Аноним (6), 18-Авг-25, 11:20 
Важное уточнение - программисты яваскрипт.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

23. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +1 +/
Сообщение от Аноним (23), 18-Авг-25, 13:01 
Не знал, что 7-zip написан на яваскрипт.
Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +2 +/
Сообщение от Аноним (-), 19-Авг-25, 08:54 
> Не знал, что 7-zip написан на яваскрипт.

Вот такой вот хреновый яваскрипт :)

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +3 +/
Сообщение от Аноним (39), 18-Авг-25, 16:05 
в смысле не умеют, там же все корректно обрабатывается и файлик кладется ровно по тому пути по которому указали, в чем проблема, я никак не пойму :)
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

9. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  –2 +/
Сообщение от Аноним (9), 18-Авг-25, 11:41 
Интернет система , ой у нас уязвимость мы вышли за пределы интернета. Собираем на мак с помощью linux /.../.../.../ , ой а чё это мы собираем linux библиотеки на мак , опять вышли за пределы эипла. Вот на что похожи эти новости
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +4 +/
Сообщение от Аноним (13), 18-Авг-25, 12:19 
Есть хороший лайфхак по генерированию "новостей" - смотришь в NPM репах с чем там они на этой неделе обосрались, и у тебя куча контента.
Если не прокатило - вспоминаем, что в NPM теперь можно подключать сторонние репы, и далее переходим к пункту 1.
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  –1 +/
Сообщение от Аноним (13), 18-Авг-25, 12:13 
Господа, так может следует сначала просто определиться, разрешено ли вообще архиватору распаковывать файлы куда угодно, кроме того каталога в котором лежит файл (естественно при наличии соотвествующих прав доступа в файловой системе). А именно это я прочитал в новости - "в любые части ФС, не ограниченные каталогом, в который осуществляется распаковка"

Например достопочтенный гуевый винрар (как и 7zip), позволяют пользователю вручную указать директорию для распаковки (пока не учитываем "специально подготовленные архивы" с кривыми путями) - вот это хорошо или плохо?
Может вопрос-то просто в корявой обработке путей архиваторами?

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (16), 18-Авг-25, 12:29 
Я могу положить внутрь архива символическую ссылку с путём "nop" и содержимым ".", а следом за ней ещё одну символическую ссылку "yousuckatparsingsymlinks" с содержимым "nop/nop/nop/..". Всё, теперь следующий файл кладём с путём "yousuckatparsingsymlinks/outoffolder", и при распаковке он окажется снаружи папки, куда ты распаковывал архив. Проблема элементарная - забыли в режиме ограничения пути распаковки (по дефолту tar позволяет любые пути в нём записать, что удобно для тех же обновлений системы) разыменовывать содержимое симлинков и проверять уже реальный путь, куда они будут указывать. Тут даже парсер переписывать не надо - только readlink делать при встрече любой симлинки.
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (16), 18-Авг-25, 12:38 
Я так прикинул, в симлинках же можно любой путь указать, в том числе абсолютный "/tmp" или "/etc". Если не проверяется реальный путь с подставлением содержимого симлинки, то наверное не проверяется и то, что в симлинке лежит абсолютное перенаправление, которым можно сразу попасть в нужную часть FS.
Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +1 +/
Сообщение от Смузихлеб забывший пароль (?), 18-Авг-25, 17:42 
> по дефолту tar позволяет любые пути в нём записать,
> что удобно для тех же обновлений системы

Какая-то очень странная фича для штуковины, основная суть которой - гору разрозненного барахла объединять в один файл для более шустрого и качественного дальнейшего сжатия

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

55. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (52), 18-Авг-25, 19:50 
"Это же линукс..."
Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (78), 19-Авг-25, 17:31 
tar - это не про сжатие
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

82. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (16), 20-Авг-25, 11:49 
Почему же странная? В том месте, куда путь прописывается, может оказаться любая последовательность байт (как и в любом другом архивирующем формате). Если вы хотите синхронихировать между двумя компьютерами состояние файловой системы - пихаете нужные файлы от корня в `tar -cf -`, пайпаете вывод в какой-нибудь netcat и на другом устройстве делаете `tar -xf -`. В новости описывается проблема с тем, что опциональная "безопасная" распаковка неправильно резолвит пути и не проверяет симлинки на предмет того, куда полетит файл на самом деле. Т.е. ошибка в обпциональной фиче, которую вы можете сами сделать хоть на базе баш скрипта и листинга содержимого архива.
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

34. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +1 +/
Сообщение от ptr (ok), 18-Авг-25, 14:55 
chroot
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

40. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (39), 18-Авг-25, 16:08 
> Может вопрос-то просто в корявой обработке путей архиваторами?

почему в корявой? передал путь в функцию file_move (условно из tmp в указанный путь) и все, какие притензии к архиватору?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

42. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +2 +/
Сообщение от Аноним (42), 18-Авг-25, 16:48 
> разрешено ли вообще архиватору распаковывать файлы куда угодно, кроме того каталога в котором лежит файл

nc 192.0.2.1 8080 | 7z …

В каком каталоге лежит распаковываемый файл?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

21. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  –1 +/
Сообщение от Анон1110м (?), 18-Авг-25, 12:49 
Вот почему я предпочитаю ACE.
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +1 +/
Сообщение от Аноним (-), 18-Авг-25, 13:09 
Что такое ACE?
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +1 +/
Сообщение от Аноним (29), 18-Авг-25, 13:48 
тетя Ася плохого не посоветует
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

33. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от dannyD (?), 18-Авг-25, 14:21 
>>Вот почему я предпочитаю ACE.

у себя дома можно предпочитать все что хочешь - хоть хомячков, хоть няшных котигов.

но и ногда из лесу приходится брать диких животных.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

36. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +3 +/
Сообщение от Perlovka (ok), 18-Авг-25, 15:03 
Настоящие гигачады используют ARJ
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

37. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +1 +/
Сообщение от Аноним (28), 18-Авг-25, 15:16 
А что не ARC или LHA?
Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +1 +/
Сообщение от Аноним (50), 18-Авг-25, 19:29 
Только AIN, только хардкор!
Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (52), 18-Авг-25, 19:53 
Хардкор это кю ("*.Q")
Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +2 +/
Сообщение от Tron is Whistling (?), 18-Авг-25, 22:03 
.Q вряд ли кто-то застал, а вот .ZOO уже должны помнить
Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Tron is Whistling (?), 18-Авг-25, 22:03 
Хотя конечно да, первый раз встретить файл .EQE - было интересно.
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

70. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (-), 19-Авг-25, 08:45 
> Хардкор это кю ("*.Q")

Тю, это для дилетантов. Вот попробуй .mpq без встроенного (filelist) вообще распаковать. Сразу распаковка становится таким интересным занятием :)

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

58. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +1 +/
Сообщение от Аноним (52), 18-Авг-25, 20:00 
В WinRAR схожую дыру как то наблюдал, не знаю тоже через файловые ссылки или же прямо задав что то вроде "c:\windows\...", но было как то.
Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +1 +/
Сообщение от Аноним (13), 19-Авг-25, 16:40 
Не знаю как сейчас, но во времена WinNT4 и тем паче win2000server, в момент инсталляции можно было указать куда класть винду (c:\winnt\).
Для чего? Ну этакая собственная "корпоративная" фишка, внутри конторы нужные люди знали, а не нужным - и знать незачем.
Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (-), 18-Авг-25, 20:02 

import tarfile
import io
with tarfile.open("poc.tar", mode="x") as tar:
    root = tarfile.TarInfo("root")
    root.linkname = ("noop/" * 15) + ("../" * 15)
    root.type = tarfile.SYMTYPE
...

Какой-то странный ноджыэс.
Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Tron is Whistling (?), 19-Авг-25, 20:31 
Ноджыэс - это такая шляпа, в которой для того, чтобы такой скриптик оформить - замахаешься, и придётся целый .tar-архив выкладывать :D Или 7z
Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  –1 +/
Сообщение от Аноним (64), 18-Авг-25, 22:48 
На линуксе нет программ, которые не используют при установке sudo.
Б - безопасность!
Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от SubGun (ok), 19-Авг-25, 07:19 
Справедливости ради, пакетные менеджеры как раз не используют sudo для установки пакетов.
Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +2 +/
Сообщение от Аноним (-), 19-Авг-25, 08:43 
> На линуксе нет программ, которые не используют при установке sudo.

Да, Вы правы, если непривилегированный пользак может ставить всякую дрянь и это потом еще и запускается - с безопасностью в системе и правда - не очень.

Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

79. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Рщъ (?), 19-Авг-25, 18:27 
bun не использует
Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

68. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +1 +/
Сообщение от Аноним (-), 19-Авг-25, 08:41 
Старая грабля. По прежнему работает безупречно, smashed_heads++.
Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (75), 19-Авг-25, 11:19 
Кажется только недавно точно такая же уязвимость была в WinRAR?
Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (81), 20-Авг-25, 01:33 
Такой уязвимости где только не было…
Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (83), 20-Авг-25, 12:37 
Как правило, подобные уязвимости обнаруживаются в вендософте и у вендоразработчиков, концепция точек в пути для обращения к родительскому каталогу слишком сложная для них. Ну про ссылки большинство из них вообще ничего не слышало, есть и есть.
Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

84. "Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п..."  +/
Сообщение от Аноним (84), 21-Авг-25, 00:55 
fakechroot уже сто лет назад придумали, для распаковки архива и подобных задач более чем достаточно
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру