Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Pythonのtarfileによる展開処理がセキュアになりそう

kuzushiki
June 28, 2023
Technology
0
1

 Pythonのtarfileによる展開処理がセキュアになりそう

32回 初心者のためのセキュリティ勉強会(オンライン開催)の発表資料です。
https://sfb.connpass.com/event/285981/

kuzushiki

June 28, 2023
Tweet

More Decks by kuzushiki

See All by kuzushiki
Next.jsの脆弱性(CVE-2025-29927)の話
kuzushiki
0
4
CISSPに出てくるセキュリティモデルとアクセス制御モデルをまとめてみた
kuzushiki
0
2
攻撃者の視点から見たGraphQLのセキュリティ
kuzushiki
0
1
PythonのURLパーサで見つかった脆弱性について解説する
kuzushiki
0
1
Web Cache Deception Attackについて解説する
kuzushiki
0
2
PHP8.2の新機能✞SensitiveParameter✞につい て
kuzushiki
0
3
Apple M1 CPUの脆弱性「PACMAN」について解説する
kuzushiki
0
600
ファームウェア解析はじめました
kuzushiki
0
3
「7-Zip」の脆弱性について解説する (CVE-2022-29072)
kuzushiki
0
2

Other Decks in Technology

See All in Technology
Amazon S3 Tables + Amazon Athena / Apache Iceberg
okaru
0
240
Would you THINK such a demonstration interesting ?
shumpei3
1
160
AIエージェント開発における「攻めの品質改善」と「守りの品質保証」 / 2024.04.09 GPU UNITE 新年会 2025
smiyawaki0820
0
400
ゆるくVPC Latticeについてまとめてみたら、意外と奥深い件
masakiokuda
2
230
LLM as プロダクト開発のパワードスーツ
layerx
PRO
1
200
20250413_湘南kaggler会_音声認識で使うのってメルス・・・なんだっけ?
sugupoko
1
390
改めて学ぶ Trait の使い方 / phpcon odawara 2025
meihei3
1
570
ウォンテッドリーにおける Platform Engineering
bgpat
0
190
Стильный код: натуральный поиск редких атрибутов по картинке. Юлия Антохина, Data Scientist, Lamoda Tech
lamodatech
0
320
10分でわかるfreeeのQA
freee
1
12k
GitHub MCP Serverを使って Pull Requestを作る、レビューする
hiyokose
2
710
Langchain4j y Ollama - Integrando LLMs con programas Java @ Commit Conf 2025
deors
1
130

Featured

See All Featured
Fireside Chat
paigeccino
37
3.4k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
52
2.4k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
45
7.2k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
4 Signs Your Business is Dying
shpigford
183
22k
Visualization
eitanlees
146
16k
Designing for Performance
lara
607
69k
VelocityConf: Rendering Performance Case Studies
addyosmani
328
24k
StorybookのUI Testing Handbookを読んだ
zakiyama
29
5.6k
The Cost Of JavaScript in 2023
addyosmani
49
7.7k
Side Projects
sachag
452
42k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k

Transcript

  1. Pythonのtarfileによる 展開処理がセキュアになりそう kuzushiki 32回 初心者のためのセキュリティ勉強会 1 / 9

  2. アジェンダ 発表内容 そもそもtarってなんだっけ? tarの展開処理に潜む脆弱性 Extraction filters デモ 今後の方針 おわりに 32回

    初心者のためのセキュリティ勉強会 2 / 9

  3. 発表内容 Python 3.11.4 (2023/6/6 リリース) にて、 tarfile・shutilモジュールにExtraction filtersという機能が追加されたので紹介 Changelogより引用 The

    extraction methods in tarfile, and shutil.unpack_archive(), have a new a filter argument that allows limiting tar features than may be surprising or dangerous, such as creating files outside the destination directory… 和訳: tarfileとshutil.unpack_archive()の展開メソッドに新しいfilter引数が追加され、 展開先ディレクトリの外にファイルを作成するなど、驚くような、あるいは危険なtarの機能を制限できるようになりました。 32回 初心者のためのセキュリティ勉強会 3 / 9

  4. そもそもtarってなんだっけ? ChatGPTに聞いてみた Q: tarというファイル形式について、わかりやすく3行程度で説明してください A: tarは「Tape Archive」の略で、複数のファイルやディレクトリをひとつのファイルにまとめる役割を持っています。 圧縮は行わず、主にファイルの構造や属性を保持するために使用されます。 .tarという拡張子でよく見かけ、これをさらに圧縮したものは.tar.gzや.tar.bz2などとなります。 32回

    初心者のためのセキュリティ勉強会 4 / 9

  5. tarの展開処理に潜む脆弱性 パストラバーサル (tar slip) アーカイブ内のファイル名に ../ のような相対パスを含められる 展開先ディレクトリの外にファイルを作成してしまう シンボリックリンク攻撃 シンボリックリンク≒Windowsにおけるショートカット

    tarアーカイブにシンボリックリンクを含めることができる 意図しないファイルを表示・編集してしまう 信頼できないtarアーカイブを展開する際は気をつけましょう 32回 初心者のためのセキュリティ勉強会 1 ` ` zipにも同様の潜在的な脆弱性があります 1 5 / 9

  6. Extraction filters Python 3.11.4 でtarfileモジュールに追加された機能 tar展開時に前述の脆弱性を検知しブロックしてくれる filterの値と脆弱性の対応関係を表にまとめた filterの値 パストラバーサル シンボリックリンク攻撃

    None (デフォルト) × × data ◦ ◦ tar ◦ × fully_trusted × × 32回 初心者のためのセキュリティ勉強会 1 zipfileモジュールにこの機能はないが、パストラバーサルはデフォルトで対策されている 1 6 / 9

  7. デモ デモのソースコードはGitHubにアップしてます https://github.com/kuzushiki/tarfile-extraction-filters-demo 4パターンのtarアーカイブを展開してみよう 1. absolute_link_test.tar : /etc/passwd を参照するシンボリックリンクを格納 2.

    absolute_path_test.tar : hacked!! と書かれた /etc/passwd を格納 3. link_outside_destination_test.tar : ../../../../etc/passwd を参照するシンボリックリンクを格納 4. outside_destination_test.tar : hacked!! と書かれた ../../../../etc/passwd を格納 32回 初心者のためのセキュリティ勉強会 ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` 7 / 9

  8. 今後の開発方針 現在は filter=None がデフォルトだが、将来的には filter='data' がデフォルトとなる -> 安心してtarの展開ができるように! Python 3.12

    で fileter=None だと警告を表示 PEP 693 – Python 3.12 Release Scheduleによると 2023/10/2 リリース Python 3.14 で filter='data' がデフォルトに 32回 初心者のためのセキュリティ勉強会 ` ` ` ` ` ` ` ` 8 / 9

  9. おわりに Python 3.11.4 にて面白そうな機能が追加されていたため紹介した 信頼できないtar (zip) の展開には注意しよう tarfileやshutilモジュールで展開する際は filter='data' を設定しておきましょう

    32回 初心者のためのセキュリティ勉強会 ` ` 9 / 9