摘自:Frebuff.com
最近Libarchive又被曝出存在安全漏洞——Libarchive是个开源压缩库,为各种不同文件档案格式准备的。Libarchive的应用范围非常广,因此,所以大量项目自然也就受到了影响,如Debian Linux、FreeBSD,还有诸多文件压缩工具。
思科的研究人员说,这次发现的漏洞包括:Libarchive处理7-Zip文件时可能发生整数溢出的问题(CVE-2016-4300),还有处理Mtree文件时缓冲区溢出(CVE-2016-4301)、处理RAR文件时堆溢出(CVE-2016-4302)。很显然,这些都是相当危险的安全漏洞,攻击者可利用这些漏洞在感染的设备上远程执行代码。
比如说,攻击者可利用整数溢出漏洞做个7-Zip文件,用户只要用Libarchive库相关软件来处理7-Zip文件就可以造成内存溢出以及恶意代码执行。
Libarchive是2004年的时候专门为FreeBSD所推的压缩库。此后,Libarchive很快就吸引了不少开发者,这些开发者就将Libarchive移植到了其他操作系统或融合到自己的软件产品里。Libarchive吸引开发者的地方在于,它支持实时访问许多压缩文件格式,比如7z、zip、cpio、pax、rar、cab等。
所以这次被曝出的安全漏洞间接影响到了大量项目和产品。Libarchive本身或者包含Libarchive的软件读取这些恶意压缩文件,黑客就能在用户的系统中执行恶意代码。你知道哪些软件会用到Libarchive吗?实际上不光是压缩/解压工具可能会采用Libarchive,如本文开头所言,这还是个系统级的库,各种包管理器、文件浏览器,甚至反病毒软件都会用到它。
想象一下,你用的反病毒软件或者包管理器,代码中本身就包含Libarchive——用以实时读取归档文件。所有的反病毒软件都需要对压缩文件先解压缩,这样才能查看里面是否有恶意程序;而包管理器的作用是下载、解压、安装软件。那么攻击者完全可以利用Libarchive的漏洞,构建恶意压缩文件,感染PC。
思科Talos团队宣布,已经和Libarchive团队合作发布了一系列的补丁。但因为Libarchive的存在性的确相当广泛,开发者要将最新版(v3.2.1)在所有应用中部署到位,恐怕还是得花很多时间的。