web-dev-qa-db-ja.com

解凍ツールのセキュリティ

Unrar-freeで信頼されていないファイルを解凍することはどのくらい安全ですか?解凍あり?私はdebian jessieを使用しています。ファイルのコンテンツを抽出する際、脅威を最小限に抑えるためにどのような手順を実行できますか?

4

信頼できないファイルを解凍するのはどれくらい安全ですか

CVE's for unzip を見るだけで、既存のファイルの権限を変更したり、現在のディレクトリの外部にある任意のファイルを上書きしたりして、いくつかのコードが実行される可能性があります。

nrarのCVEリスト は短くなっていますが、コード実行も含まれています。

ファイルのコンテンツを抽出する際、脅威を最小限に抑えるためにどのような手順を実行できますか?

あらゆる種類の特権の分離とサンドボックス化、つまり仮想マシン、chroot環境、またはコンテナ...そしてもちろん、最新のパッチが適用されます。

Unzipとunrarについては、特別なことは何もありません。悪意のある可能性のあるファイル(少なくとも疑わしいOriginのすべてを含む)については、同じように注意する必要があります。

9
Steffen Ullrich

ファイルに含まれる悪意のあるペイロードは、使用できるように実行する必要があります。次の条件が満たされていれば、ファイルシステム上のファイルを単に廃棄するだけではリスクはありません。

  • 特定のタイプのファイルが検出されると、自動的にトリガーされるアクションはありません。これは通常、スマートになりたい、たとえばサムネイルを生成したいグラフィカルUIによって行われます。
  • Zipファイル自体は、たとえば、iノード(または他のリソース)が不足するまで再帰ディレクトリを作成するような方法で作成されていません。

疑問がある場合は、GUIのない​​使い捨て仮想マシンを使用してください。GUIは、インストール後にスナップショットを作成し、機密性の高い操作のためにそのスナップショットから実行します。

1
WoJ

ファイルのサイズと内容を確認することをお勧めします。 2015年6月のいつか、ITの仕事をしている私の勤務先で、暗号化ソフトウェアの攻撃を受けました。私はそれがどこから来たのか、それが何に影響を与えたのかを調べる任務を負っていました。

数時間後、私はそれを電子メールの単一のZip添付ファイルに追跡しました。 300バイト弱でした。メールをダブルクリックすると、組み込みのWindows Zipプログラムにコードが挿入され、暗号化ソフトウェアがダウンロードされ、ユーザーの一時ディレクトリからインストールされます。これはWindowsでしたXPマシン。一時フォルダから実行権限を削除して問題を修正しました。数日前に別のメールが存在しましたが、今回はそれができなかったためエラーが発生しました実行しません。

すべてではないにしても、ほとんどの暗号化ウェアや他の小さな厄介なものは、ウィンドウだけをターゲットにしていると私は言わなければなりません。 Linuxを使用している場合は、おそらく問題ありません。最初にファイルを分離するだけです。その点で私はステフェン・ウルリッヒに同意します。

余談ですが、テロには屈しませんでした。影響を受けたファイルをバックアップから戻しました。常に適切なバックアップを保持してください。

1
Kayot