Java JDKのJAR展開に脆弱性
昔有った、圧縮ファイルを展開する時、早退パスで利用者の意図しない場所にファイルが展開されてしまう危険性があるそうです。
以前、各種圧縮ファイルの脆弱性として話題になったのと似た系統ですね。JARはZIPと同じ圧縮方法なのですが対応は不十分だったと言うことでしょうか?
本来なら、圧縮ファイルよりルート側のディレクトリに遡っての解凍は禁止されるべきでしょうね。
対象のバージョンは、、JDK1.5.0_02および1.4.2_08で現在の最新版です。
●関連記事
○Java開発環境にアーカイブファイル展開時の脆弱性~Secunia報告(2005/04/12 13:20)(Impress INTERNET Watch)
●関連URL
○Java ソフトウェアの無料ダウンロード(Sun Microsystems)
○Java 2 Platform Standard Edition 5.0 概要
○Java 2 Platform, Standard Edition v 1.4.2 概要
●関連blog
○多数の圧縮ファイル解凍ソフトに脆弱性(2004.08.02 07:05)(秋沙のココログ既知ログ)
| 固定リンク
コメント