“拉链滑动”漏洞影响了许多生态系统中的数千个项目

被称为“拉链" 该问题是一个任意文件覆盖漏洞，在从存档中提取文件时，目录遍历攻击会触发该漏洞，并影响多种存档格式，包括tar、jar、war、cpio、apk、rar和7z。

数以千计的项目用各种编程语言编写，包括JavaScript、Ruby、Java、NET和Go，来自谷歌、甲骨文、IBM、Apache、亚马逊、Spring/Pivotal、Linkedin、Twitter、阿里巴巴、Eclipse、OWASP、ElasticSearch、JetBrains等等，包含易受攻击的代码和库。
该漏洞多年未被发现，攻击者可以使用一个精心编制的存档文件来利用该漏洞，该文件包含目录遍历文件名，如果被任何易受攻击的代码或库提取，攻击者就可以在其应驻留的文件夹外解除恶意文件的存档。
该公司解释说，利用这种Zip-Slip攻击，攻击者甚至可以覆盖应用程序的合法可执行文件或配置文件，诱骗目标系统或用户运行它，“从而在受害者的机器上实现远程命令执行”。

“该漏洞还可能通过覆盖配置文件或其他敏感资源而造成损害，并可在客户端（用户）计算机和服务器上被利用”。

“此zip文件的内容必须手工制作。尽管zip规范允许，但存档创建工具通常不允许用户添加具有这些路径的文件。但是，使用正确的工具，可以轻松创建具有这些路径的文件”。

该公司还发布了概念验证Zip Slip档案，并发布了视频演示，展示了攻击者如何利用Zip Slip漏洞。

自4月以来，该公司开始私下向所有易受攻击的库和项目维护人员披露拉链漏洞。

Snyk的GitHub存储库上还发布了所有受影响的库和项目的列表，其中一些库和项目已经通过发布更新版本解决了这个问题。

此外，您还可以阅读Snyk的博客文章，通过示例片段了解不同生态系统中易受攻击的代码。