https://opennet.me/openforum/vsluhforumID3/114508.html Раскрыты (https://snyk.io/blog/zip-slip-vulnerability/) сведения об уязвимости Zip Slip (https://snyk.io/research/zip-slip-vulnerability), которая позволяет переписать или сохранить файлы за пределами базового каталога при распаковке архивов с использованием функций распаковки, предоставляемых различными библиотеками на Java, JavaScript, .NET и Go. В анонсе достаточно много PR и заметно преувеличена степень новизны проблемы и степени её опасности, в то время как уязвимость по сути повторяет проблемы, устранённые (https://nvd.nist.gov/vuln/detail/CVE-2001-1268) 10-20 лет назад в штатных утилитах распаковки архивов, перенося их на современные фреймворки. <br><br><br>Суть уязвимости в том, что можно подготовить модифицированный архив (tar, jar, war, cpio, apk, rar или 7z), в котором подставить в путь сохранённого в архиве файла символы "../../". При распаковке данного файла с использованием уязвимых библиотек из-за отсутствия проверки относительного пути файл будет сохранён в каталог вне базового каталога распаковки а https://opennet.me/openforum/vsluhforumID3/114508.html#50 Wed, 13 Jun 2018 11:53:24 GMT &gt;&gt; Поколение Z буковок не знает, не умеет, потому что &#171;устарело&#187;.<br>&gt; Поколение Z еще знает, а вот следующее точно не будет - все <br>&gt; буковки закончились до них <br><br>Да я тогда уж совсем старенький буду &#8212; так что пох.<br> https://opennet.me/openforum/vsluhforumID3/114508.html#49 Wed, 13 Jun 2018 11:33:03 GMT &gt; Поколение Z буковок не знает, не умеет, потому что &#171;устарело&#187;.<br><br>Поколение Z еще знает, а вот следующее точно не будет - все буковки закончились до них<br> https://opennet.me/openforum/vsluhforumID3/114508.html#48 Mon, 11 Jun 2018 09:13:10 GMT Вы не поверите: https://www.omg.org/<br> https://opennet.me/openforum/vsluhforumID3/114508.html#47 Sun, 10 Jun 2018 22:11:27 GMT Это все потому что нужно иметь только одну рассово верную библиотеку для всех фреймворков (на C).<br>А то понаехали тут...<br> https://opennet.me/openforum/vsluhforumID3/114508.html#46 Sun, 10 Jun 2018 07:26:44 GMT Как-то дико такое читать. С первых же строк по распаковку вне текущего каталога в голове всплыло ../../. А ведь я даже не погромист и не одмин и вообще не айтишник. Они там вообще свои велосипеты хоть как-то тестируют?<br> https://opennet.me/openforum/vsluhforumID3/114508.html#45 Fri, 08 Jun 2018 05:36:50 GMT &gt;&gt; В анонсе достаточно много PR <br>&gt; Достаточно много связей с общественностью? Что за дичь? Редактор, не употребляй слова, <br>&gt; значения которых не знаешь <br><br>Вы бы хоть сами в словарь заглянули и почитали в каких ситуациях употребляется слово "пиар".<br><br>https://dic.academic.ru/dic.nsf/es/85473/%D0%9F%D0%98%D0%90%D0%A0<br><br>"PR &#8212; Практика создания и внедрения в сознание людей привлекательного образа кого-, чего-л.... Деятельность, направленная на формирование общественного мнения, имиджа предпринимателя или его фирмы, продвижение бизнес-продукта предпринимателя, &#171;раскрутка&#187; бренда."<br> https://opennet.me/openforum/vsluhforumID3/114508.html#44 Fri, 08 Jun 2018 03:43:48 GMT +100500<br> https://opennet.me/openforum/vsluhforumID3/114508.html#42 Wed, 06 Jun 2018 17:45:29 GMT &gt; В анонсе достаточно много PR<br><br>Достаточно много связей с общественностью? Что за дичь? Редактор, не употребляй слова, значения которых не знаешь<br> https://opennet.me/openforum/vsluhforumID3/114508.html#37 Wed, 06 Jun 2018 17:19:21 GMT То есть консольные распаковщики , написанные на человеческих языках людьми для людей, не подвержены.<br>Ну ок.<br>