프로호스터 > 블로그 > 인터넷 뉴스 > 아카이브 압축을 풀 때 파일 덮어쓰기를 허용하는 unrar의 취약점

아카이브 압축을 풀 때 파일 덮어쓰기를 허용하는 unrar의 취약점

unrar 유틸리티에서 취약점(CVE-2022-30333)이 확인되었습니다. 이 유틸리티를 사용하면 특별히 설계된 아카이브의 압축을 풀 때 사용자 권한이 허용하는 한 현재 디렉터리 외부의 파일을 덮어쓸 수 있습니다. 이 문제는 RAR 6.12 및 unrar 6.1.7 릴리스에서 수정되었습니다. 이 취약점은 Linux, FreeBSD 및 macOS 버전에서 나타나지만 Android 및 Windows 버전에는 영향을 미치지 않습니다.

문제는 아카이브에 지정된 파일 경로에서 "/.." 시퀀스를 제대로 검사하지 않아 발생하며, 이로 인해 압축 풀기가 기본 디렉터리의 경계를 넘어갈 수 있습니다. 예를 들어, "../.ssh/authorized_keys"를 아카이브에 배치함으로써 공격자는 압축을 풀 때 사용자 파일 "~/.ssh/authorized_keys"를 덮어쓰려고 시도할 수 있습니다.

출처 : opennet.ru

코멘트를 추가 답장을 취소

당신이 필요로하는 코멘트를 게시하려면 로그인.