在过等保时,渗透出来的漏洞,想问问这漏洞是不是存在?uniapp 版本 3.0.0-3080720230703001。
Zipper Down针对热更新应用,在使用ZipArchive或SSZipArchive(第三方库)解压zip文件时,未对 .. 以及 / 进行过滤处理导致目录穿透,解压时恶意文件覆盖原有可执行文件或其他文件,在应用程序运行时造成恶意代码执行或运行崩溃等危害。
渗透给出的整改意见是,升级SSZipArchive。但这库我们并不可控。
如果存在该漏洞请问如何解决。
gzxd
- 发布:2024-06-14 17:42
- 更新:2024-06-17 12:43
- 阅读:269
查了 SSZipArchive 仓储没有查到关于这个漏洞的说明,有一条更新日志 SSZipArchive 从 2.5.0 (22年6月)版本开始最低仅支持iOS15.5+ ,因为底层依赖了iOS系统新的库,不知道是不是iOS系统库的问题所以这个版本开始更新了底层依赖库,如果你们的app仅支持 15.5+的话可以升级到最新版本测试一下,有结果了可以回复一下;
-
-
gzxd (作者)
是低层依赖zlib库的 CVE-2018-25032 漏洞导致最低仅支持 2.5.0
附:https://github.com/ZipArchive/ZipArchive/issues/6922024-06-17 16:01
-
回复 gzxd: 作者回复说是 zlib 库的漏洞,iOS系统15.5版本之前都会存在这个漏洞,你们如果可以不支持 15.5之前的系统可以集成最新版本
2024-06-17 20:02
-
gzxd (作者)
回复 DCloud_iOS_XHY: 你们uniapp的SSZipArchive为2.2.3,那意味着使用低于15.5的设备都会有该漏洞,你们考虑修复吗,还是已自行打了补丁?
2024-06-18 09:44
-
-
-
回复 gzxd: 其实这个漏洞和SSZipArchive没啥关系,意思是这个漏洞是iOS系统问题,也就是iOS15.5之前的系统都有这个漏洞,SSZipArchive 里面只是调用了系统库提供的方法,苹果在iOS15.5中修复了这个漏洞,作者在2.5.0版本后使用了新的api,这个新api也只有iOS15.5+的版本上才有,所以要是升级 SSZipArchive 就意味着不在兼容iOS15.5及以下版本,作为平台SDK显然是不可接受的,可以在业务上做好防护,做好wgt的安全校验就可以避免问题产生
2024-06-18 16:43
-
-
gzxd (作者)
我尝试升级 SSZipArchive 过程中碰到了问题,SSZipArchive 好像是编译在 libcoreSupport.a 静态库里了,升级需要重新编译 libcoreSupport.a 库,翻了圈社区和文档没找到编译方法>﹏<。 直接替换 SDK/inc/SSZipArchive 目录好像没生效。
2024-06-19 15:30
gzxd (作者)
以后等保可以考虑你们,iOS加固先不考虑,现打算离线打包升级 SSZipArchive 配合整改
2024-06-17 11:38