发布时间:2019-11-11 09:40:25,来源:中国信息通信研究院
Debian,Ubuntu,Gentoo等发行版默认包含的Libarchive库中存在代码执行漏洞,CVE编号:CVE-2019-18408。攻击者可利用精心构造的压缩文件,对受影响用户执行恶意代码。
Libarchive是一个开源压缩库,因其能够访问大量压缩文件格式而被广泛使用,默认包含在 Debian,Ubuntu,Gentoo,Arch Linux,FreeBSD和NetBSD发行版中。一些常用的命令行工具如 tar, cpio, zcat 等也使用到 libarchive。
在某些ARCHIVE_FAILED 情况下, 3.4.0 版本前libarchive 的 archive_read_support_format_rar.c中存在UAF (释放后使用)漏洞。攻击者利用精心构造的压缩文件,当受影响用户使用Libarchive或者包含Libarchive的软件读取这些恶意压缩文件时,可被执行代码。
目前,几个Linux和FreeBSD发行版已发布相关更新修复了此漏洞。另外,此次漏洞并未影响到Mac OS X 和Windows 10这两种操作系统。
受影响版本:
Libarchive < 3.4.0
不受影响版本:
Libarchive == 3.4.0(最新)
四、处置建议
目前官方已发布最新版本修复该漏洞,建议受影响用户尽快前往以下链接下载并更新:
https://github.com/libarchive/libarchive/releases/tag/v3.4.0
各发行版安全更新信息如下:
1) Debian: https://securitytracker.debian.org/tracker/CVE-2019-18408
2) Ubuntu: https://usn.ubuntu.com/4169-1/
3) Gentoo: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2019-18408
4) ArchLinux: https://www.archlinux.org/packages/?sort=&q=libarchive&maintainer=&flagged=
1) https://www.zdnet.com/article/libarchive-vulnerability-can-lead-to-code-execution-on-linux-freebsd-netbsd/#ftag=RSSbaffb68/
2) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18408