JPCERT/CCは6月6日、米国のセキュリティベンダーであるSnykから、Zipなどのアーカイブファイルの展開処理における脆弱性「Zip Slip」に関する情報が公開されたとして、注意を呼び掛けた。
この脆弱性が悪用されると、実行ファイルの上書きや設定ファイルの書き換えが可能となり、結果として、リモートから任意のコードを実行されるおそれがあるという。
Snykによると、脆弱性はJavaScript、Ruby、.NET、Goなどで検出されているが、アーカイブ(zip)ファイルの高水準処理を提供する中央のライブラリがないJavaで多く発見されているという。
tar、jar、war、cpio、apk、rar、7zなど、広く利用されている多くのアーカイブ形式が、脆弱性の影響を受ける可能性があるとしている。
Amazon、Apache Project、Pivotalなどは既にこの脆弱性の修正を行っているが、詳細はSnyk セキュリティチームのGitHub上で修正状況を管理することができる。