当前位置:首页 > 安全预警 > 正文

开源压缩库Libarchive代码执行漏洞(CVE-2019-18408)预警

发布时间:2019-11-11 09:40:25,来源:中国信息通信研究院

      一、基本情况

Debian,Ubuntu,Gentoo等发行版默认包含的Libarchive库中存在代码执行漏洞,CVE编号:CVE-2019-18408。攻击者可利用精心构造的压缩文件,对受影响用户执行恶意代码。

      二、攻击原理

Libarchive是一个开源压缩库,因其能够访问大量压缩文件格式而被广泛使用,默认包含在 Debian,Ubuntu,Gentoo,Arch Linux,FreeBSD和NetBSD发行版中。一些常用的命令行工具如 tar, cpio, zcat 等也使用到 libarchive。

在某些ARCHIVE_FAILED 情况下, 3.4.0 版本前libarchive 的 archive_read_support_format_rar.c中存在UAF (释放后使用)漏洞。攻击者利用精心构造的压缩文件,当受影响用户使用Libarchive或者包含Libarchive的软件读取这些恶意压缩文件时,可被执行代码。

目前,几个Linux和FreeBSD发行版已发布相关更新修复了此漏洞。另外,此次漏洞并未影响到Mac OS X 和Windows 10这两种操作系统。

      三、影响范围

受影响版本:

Libarchive < 3.4.0

不受影响版本:

Libarchive == 3.4.0(最新)

      四、处置建议

目前官方已发布最新版本修复该漏洞,建议受影响用户尽快前往以下链接下载并更新:

https://github.com/libarchive/libarchive/releases/tag/v3.4.0

各发行版安全更新信息如下:

1) Debian: https://securitytracker.debian.org/tracker/CVE-2019-18408

2) Ubuntu: https://usn.ubuntu.com/4169-1/

3) Gentoo: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2019-18408

4) ArchLinux: https://www.archlinux.org/packages/?sort=&q=libarchive&maintainer=&flagged=

      五、参考链接

1) https://www.zdnet.com/article/libarchive-vulnerability-can-lead-to-code-execution-on-linux-freebsd-netbsd/#ftag=RSSbaffb68/

2) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18408