ฉันจะแยกไฟล์ tar ที่ไม่น่าเชื่อถือได้อย่างปลอดภัยได้อย่างไร

ฉันต้องการที่จะสามารถแยกไฟล์ tar เช่นว่าไฟล์ที่แยกทั้งหมดจะอยู่ภายใต้ไดเรกทอรีคำนำหน้าบางอย่าง ความพยายามใด ๆ โดยไฟล์ tar เพื่อเขียนไปยังไดเร็กทอรีภายนอกควรทำให้การแตกไฟล์ล้มเหลว

อย่างที่คุณอาจจินตนาการนี่คือเพื่อให้ฉันสามารถแยกไฟล์ tar ที่ไม่น่าเชื่อถือได้อย่างปลอดภัย

ฉันจะทำสิ่งนี้กับ GNU ได้tarอย่างไร

ฉันมากับ:

tar --exclude='/*' --exclude='*/../*' --exclude='../*' -xvf untrusted_file.tar

แต่ฉันไม่แน่ใจว่านี่เป็นสิ่งที่หวาดระแวงเพียงพอ

คุณไม่ต้องการความหวาดระแวงเลย GNU tar- และในความเป็นจริงแล้วโปรแกรมใด ๆ ที่เป็นลายลักษณ์อักษรที่tarผลิตในช่วง 30 ปีที่ผ่านมา - จะปฏิเสธที่จะแตกไฟล์ใน tarball ที่เริ่มต้นด้วยเครื่องหมายทับหรือที่มี..องค์ประกอบตามค่าเริ่มต้น

คุณต้องออกจากทางของคุณเพื่อบังคับให้tarโปรแกรมที่ทันสมัยเพื่อแยก tarballs ที่อาจเป็นอันตราย: ทั้ง GNU และ BSD tarต้องการ-Pตัวเลือกเพื่อให้ปิดการป้องกันนี้ ดูที่ส่วนชื่อไฟล์แบบเต็มในคู่มือ GNU tar

การ-Pตั้งค่าสถานะไม่ได้ถูกระบุโดย POSIX แม้ว่าtarprograms ดังนั้นโปรแกรมอื่นอาจมีวิธีการจัดการกับสิ่งนี้ต่างกัน ยกตัวอย่างเช่น Schily เครื่องมือstarโปรแกรมการใช้งาน-/และ-..ปิดการใช้งานคุ้มครองเหล่านี้

สิ่งเดียวที่คุณอาจพิจารณาเพิ่มในtarคำสั่งnaïve คือการ-Cตั้งค่าสถานะเพื่อบังคับให้แยกสิ่งต่าง ๆ ในไดเรกทอรีชั่วคราวที่ปลอดภัยดังนั้นคุณไม่จำเป็นต้องไปที่cdนั่นก่อน

ช่วยเหลือ :

1. ในทางเทคนิคแล้วtarPOSIX ไม่ได้ระบุอีกต่อไป พวกเขาพยายามบอกโลกของ Unix ว่าเราควรจะใช้paxตอนนี้แทนtarและcpioแต่โลกของคอมพิวเตอร์นั้นไม่สนใจพวกมัน

   มีความเกี่ยวข้องที่นี่เพื่อทราบว่าข้อกำหนด POSIX สำหรับpaxไม่ได้บอกว่าควรจัดการกับเครื่องหมายทับหรือ..องค์ประกอบที่ฝังตัว มีการ--insecureตั้งค่าสถานะที่ไม่เป็นมาตรฐานสำหรับBSDpaxเพื่อระงับการป้องกัน..องค์ประกอบของเส้นทางที่ฝังตัวแต่ดูเหมือนจะไม่มีการป้องกันเริ่มต้นจากเครื่องหมายทับชั้นนำ หน้าคู่มือ BSD paxทางอ้อมแนะนำให้เขียน-sกฎการทดแทนเพื่อจัดการกับความเสี่ยงของเส้นทางที่แน่นอน

   นั่นคือสิ่งที่เกิดขึ้นเมื่อมาตรฐาน de พฤตินัยยังคงใช้งานในขณะที่มาตรฐานทางนิตินัยจะถูกละเว้นส่วนใหญ่

ด้วย tar ของ GNU มันเป็นเรื่องง่าย

tar -xvf untrusted_file.tar

ในไดเรกทอรีว่าง GNU tar โดยอัตโนมัติแถบชั้นนำ/ชื่อสมาชิกเมื่อแยกเว้นแต่อย่างชัดเจนไม่ได้บอกอย่างอื่นที่มีตัวเลือก--absolute-names GNU tar ยังตรวจพบเมื่อการใช้งาน../จะทำให้ไฟล์ถูกแตกออกจากไดเรกทอรีระดับบนสุดและวางไฟล์เหล่านั้นในไดเรกทอรีระดับบนสุดแทนเช่นส่วนประกอบfoo/../../bar/quxจะถูกแยกเช่นเดียวกับbar/quxในไดเรกทอรีระดับบนสุดแทนที่จะbar/quxเป็นหลักของไดเรกทอรีระดับบนสุด . GNU tar ยังดูแลการเชื่อมโยงสัญลักษณ์ที่ชี้อยู่นอกไดเรกทอรีระดับบนสุดเช่นfoo -> ../..และfoo/barจะไม่barถูกแยกออกนอกไดเรกทอรีระดับบนสุด

โปรดทราบว่าสิ่งนี้ใช้ได้เฉพาะกับ (GNU tar รุ่นล่าสุดอย่างเพียงพอ) (เช่นเดียวกับการใช้งานอื่น ๆ เช่น * BSD tar และ BusyBox tar) การใช้งานอื่น ๆ บางอย่างไม่มีการป้องกันดังกล่าว

เนื่องจากลิงก์สัญลักษณ์การป้องกันที่คุณใช้จะไม่เพียงพอ: ไฟล์เก็บถาวรอาจมีลิงก์สัญลักษณ์ที่ชี้ไปยังไดเรกทอรีภายนอกต้นไม้และแยกไฟล์ในไดเรกทอรีนั้น ไม่มีวิธีใดที่จะแก้ปัญหานั้นตามชื่อสมาชิกอย่างแท้จริงคุณต้องตรวจสอบเป้าหมายของลิงก์สัญลักษณ์

โปรดทราบว่าหากคุณกำลังแยกไปยังไดเรกทอรีที่มีลิงก์สัญลักษณ์อยู่แล้วการรับประกันอาจไม่ถูกระงับอีกต่อไป

เพื่อให้ครอบคลุมบางประเด็นคำตอบอื่น ๆ ยังไม่ได้:

1. ก่อนอื่นให้ดูสิ่งที่อยู่ในไฟล์ก่อนที่จะแตกไฟล์:

   tar -tvf untrusted_tar_file.tar
   

   หากมีสิ่งใดในนั้นที่คุณไม่เชื่อถือหรือต้องการแยกออกอย่าดึง tarball ออก

2. ขั้นที่สองแยก tarball ในฐานะผู้ใช้ที่ไม่ใช่รูทซึ่งมีสิทธิ์การเขียนในไดเรกทอรีเดียวที่คุณกำลังดึง tarball เข้าไป ตัวอย่างเช่นแตก tarball จากภายในโฮมไดเร็กทอรีของผู้ใช้ที่ไม่ใช่รูท