Проблема Zip Slip представляет опасность для Apache Hadoop YARN - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
26-11-2018, 21:00
Проблема Zip Slip представляет опасность для Apache Hadoop YARN - «Новости»
Рейтинг:
Категория: Новости

");
}else{
$('#mpu1-desktop').remove();
console.log('mpu1-desktop removed');
}
});

Об уязвимости Zip Slip впервые стало известно летом текущего года. Тогда специалисты компании Synk рассказали о проблеме, затрагивающей различные опенсорсные библиотеки, ответственные за работу с файлами архивов. Обнаруженные проблемы затронули такие форматы, как .tar, .jar, .war, .cpio, .apk, .rar и .7z, то есть Zip Slip представляет опасность для множества разных проектов и экосистем, и позволяет атакующему добиться исполнения произвольного кода.


В корне проблемы Zip Slip лежит перезапись произвольных файлов, которую нужно использовать в сочетании с атакой на обход каталога, реализовать которую возможно во время извлечения файлов из архивов вышеперечисленных форматов.


Уже летом было ясно, что под угрозой оказались тысячи проектов, написанные на самых разных языках, включая jаvascript, Ruby, Java, .NET и Go, в том числе принадлежащих Google, Oracle, IBM, Apache, Amazon, Spring/Pivotal, Linkedin, Twitter, Alibaba, Eclipse, OWASP, ElasticSearch, JetBrains и так далее.


Теперь разработчики Apache выпустили предупреждение, в котором сообщили, что Zip Slip представляет опасность для всех версий Apache Hadoop, кроме 3.1.1, 3.0.3, 2.8.5 и 2.7.7, а также JBoss Fuse 6.0 и 7.0.


В случае Hadoop и демона NodeManager уязвимость угрожает имплементациям, которые используют публичные архивы в распределенном кеше. Согласно информации специалистов, проблема позволяет пользователю кластера опубликовать публичный архив, что может оказать прямое влияние на другие файлы, принадлежащие пользователю, работающему с YARN NodeManager. В итоге становится возможным осуществление инжектов в задания других пользователей кластера, использующих публичные архивы.


Эксперты настоятельно рекомендуют пользователям обновить Apache Hadoop до версий 2.7.7, 2.8.5, 2.9.2, 3.0.3 или 3.1.1.


Напомню, что разработчики уже патчили Apache против Zip Slip в июне текущего года, но, по всей видимости, исправить YARN оказалось сложнее, так как, согласно официальным данным, о вышеописанной проблеме впервые стало известно еще в апреле текущего года.


Источник новостиgoogle.com



Теги: CSS, Slip Apache представляет текущего опасность

Просмотров: 809
Комментариев: 0:   26-11-2018, 21:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: