长亭百川云 - 文章详情

CVE-2022-30333 UnRAR 一个有趣的解压缩路径穿越漏洞

自在安全

65

2024-07-13

★且听安全-点关注,不迷路!

★漏洞空间站-优质漏洞资源和小伙伴聚集地!

**漏洞信息
**

开发 WinRAR 的 RarLab 公司研发的 unrar Linux 版本二进制文件中发现了一个路径穿越漏洞 CVE-2022-30333 ,可以实现任意文件写入。

**漏洞分析
**

首先进行补丁对比。主要修改位于 `ulinks.cpp` 文件:

新增 `SafeCharToWide` 函数。但是最关键的地方不在这个函数,注意下面的修改:

函数 `IsRelativeSymlinkSafe` 输入参数发生了变化,当判断 rar 压缩包符号链接属于 Windows 样式,会将原始输入的参数 `hd->RedirName` 换成经过 `DosSlashToUnix` 函数转换后的参数 `TargetW` 。未修复版本处理逻辑如下:

`DosSlashToUnix` 函数会将 `\` 替换成 `/` :

`IsRelativeSymlinkSafe` 函数会检查路径中是否包含路径穿越字符串:

查看 `IsPathDiv` 定义发现 Windows 检查 `..\` 和 `..\` ,Linux 只检查 `../`:

上面的处理逻辑看起来没有问题,但是 `IsRelativeSymlinkSafe` 函数的输入写成了原始的 `hd->RedirName` 而非检查处理过的 `Target` 。这样我们就可以在 Windows 系统上生成存在 `..\` 路径穿越符号链接的 rar文件,绕过 `IsRelativeSymlinkSafe` 检查。按照漏洞触发原理和 unrar 解压流程构造 rar 文件,调试效果如下:

成功绕过检查,最终完成路径穿越并创建文件。

**修复方式
**

前面已经说到,新版本函数 `IsRelativeSymlinkSafe` 输入参数发生了变化,当判断 rar 压缩包符号链接属于 Windows 样式,会将原始输入的参数换成了经过 `DosSlashToUnix` 函数转换后的参数 。这样构造的特殊 rar 文件过不了 `IsRelativeSymlinkSafe` 的检查。

由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用本人负责,且听安全及文章作者不为此承担任何责任。

★且听安全-点关注,不迷路!****

★漏洞空间站-优质漏洞资源和小伙伴聚集地!

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2