저는 최근에 저(혹은 누구든지)가 비밀번호를 모르면서 암호화된 zip 파일을 다시 암호화할 수 있는 취약점을 발견했습니다.
#zip --encrypt encrypted.zip -r dir1/
사용자에게 입력하라는 메시지가 표시됩니다.새로운비밀번호. 뭔가 빠졌나요? 아니면 알려진 문제인가요?
답변1
Zip 아카이브는 포함된 다양한 파일에 대해 여러 개의 비밀번호를 가질 수 있습니다. 아카이브의 파일은 본질적으로 서로 독립적입니다. 다른 파일에 관계없이 압축되고 동일한 방식으로 암호화됩니다. 귀하는 encrypted.zip두 개(또는 그 이상)의 암호화된 세그먼트를 갖게 되며, 하나는 원래 비밀번호를 포함하고 다른 하나는 새 비밀번호를 포함합니다.
unzip파일을 시도하면 두 가지 비밀번호를 묻는 메시지가 나타납니다.
$ unzip ../test.zip
Archive: ../test.zip
[../test.zip] file1 password:
inflating: file1
inflating: file2
[../test.zip] newfile password:
inflating: newfile
디렉터리(파일 이름 목록)는 암호화되지 않습니다. 혼란스러울 수 있지만 모든 압축 도구(특히 그래픽 도구)가 이 상황을 잘 처리하는 것은 아니지만 이는 버그는 아닙니다.