Як я безпечно витягую недовірений файл смоли?

Я хотів би мати можливість витягувати файл tar, таким чином, щоб усі витягнуті файли розміщувалися під певним каталогом префіксів. Будь-яка спроба файлів tar записати у зовнішні каталоги повинна спричинити збій вилучення.

Як ви можете собі уявити, це так, що я можу надійно витягнути недовірений файл tar.

Як я можу це зробити з GNU tar?

Я придумав:

tar --exclude='/*' --exclude='*/../*' --exclude='../*' -xvf untrusted_file.tar

але я не впевнений, що це досить параноїчно.

Параноя вам зовсім не потрібна. GNU tar- і фактично будь - яка добре написана tarпрограма, створена протягом останніх 30 років або більше - ..за замовчуванням відмовиться витягувати файли в тарболі, які починаються з косої риски або містять елементи.

Вам доведеться вийти зі свого шляху, щоб змусити сучасні tarпрограми витягувати такі потенційно шкідливі тарболи: і GNU, і BSD tarпотребують -Pможливості вимкнути цей захист. Дивіться розділ Абсолютні назви файлів у посібнику з GNU tar.

-PПрапор не визначений POSIX, ¹ хоча, так що інші tarпрограми можуть мати різні способи боротьби з цим. Наприклад, інструменти Шили starпрограма використовує -/і -..відключити ці кошти захисту.

Єдине, що ви можете розглянути, як додати до наївної tarкоманди, - це -Cпрапор, щоб змусити його витягувати речі в безпечний тимчасовий каталог, тому спочатку вам не доведеться cdтам.

Убік :

1. Технічно tarбільше POSIX більше не визначений. Вони намагалися сказати Unix обчислень світу , що ми повинні використовувати paxтепер замість tarі cpio, але обчислювальний світ в значній мірі ігнорували їх.

   Тут доречно зазначити, що специфікація POSIX paxне говорить про те, як слід обробляти провідні косої риси або вбудовані ..елементи. Існує нестандартний --insecureпрапор для BSDpax для придушення захисту від вбудованих ..елементів траєкторії, але, очевидно, немає захисту за замовчуванням від провідних косих; сторінка BSD paxнепрямо рекомендує писати -sправила заміни для вирішення абсолютного ризику шляху.

   Це те, що відбувається, коли фактичний стандарт залишається в активному використанні, тоді як стандарт де-юре в основному ігнорується.

З дьогтем GNU це просто

tar -xvf untrusted_file.tar

у порожньому каталозі. Гугл GNU автоматично знімає /імена провідних членів під час вилучення, якщо явно не вказано інше з --absolute-namesопцією . GNU tar також визначає, коли використання ../призведе до вилучення файлу за межами каталогу toplevel і замість цього помістить ці файли в каталог toplevel, наприклад, компонент foo/../../bar/quxбуде вилучений як bar/quxу каталозі toplevel, а не bar/quxв батьківському каталозі версії toplevel . Гугл GNU також піклується про символьні посилання, що вказують за межами каталогу верхнього рівня, наприклад, foo -> ../..і foo/barне спричинятимуть barйого витяг за межі каталогу верхнього рівня.

Зауважте, що це стосується лише (досить останніх версій) тарілки GNU (а також деяких інших реалізацій, наприклад * BSD tar та BusyBox tar). Деякі інші реалізації не мають такого захисту.

Через символічні посилання захистів, які ви використовуєте, буде недостатньо: архів може містити символічне посилання, що вказує на каталог за межами дерева та витягує файли з цього каталогу. Немає способу вирішити цю проблему виключно на іменах членів, вам потрібно вивчити ціль символічних посилань.

Зауважте, що якщо ви виймаєте каталог, який вже містить символічні посилання, гарантія більше не може діяти.

Щоб охопити кілька пунктів, інші відповіді не:

1. Спочатку подивіться, що знаходиться у файлі, перш ніж витягти його:

   tar -tvf untrusted_tar_file.tar
   

   Якщо там є щось, чого ви не довіряєте або хочете видобути, не виймайте тарбол.

2. По-друге, витягніть тарбол як некористувального користувача, який має доступ лише для запису до тієї директорії, в яку витягуєте тарбол. Наприклад, витягніть тарбол з домашнього каталогу некорінного користувача.