【漏洞简介】
近期,知名开源压缩库Libarchive被曝光在3.4.0之前的版本中存在代码执行漏洞(CVE-2019-18408)。攻击者可利用该漏洞,通过精心构造的恶意压缩文件,引导受害用户解压时执行恶意代码。
【Libarchive介绍】
Libarchive被众多Linux和BSD系统的文件和包管理器使用(默认包含在Debian,Ubuntu,Gentoo,Arch Linux,FreeBSD和NetBSD发行版中),以及被OS X 和Chrome OS的组件和工具使用。
Libarchive支持实时访问多种压缩文件格式,比如7z、zip、cpio、pax、rar、cab、uuencode,被众多开发者广泛使用在自己的软件产品中,一些压缩软件、邮件系统、文件管理工具甚至安全软件应用中也整合了Libarchive代码。
【影响范围】
Libarchive版本 < 3.4.0;
不影响Libarchive 3.4.0以上版本,不影响Mac OS X 和Windows 10系统中默认解压模块。
【漏洞分析】
在libarchive 3.4.0之前的版本中,当出现某些解码失败(ARCHIVE_FAILED)情况时,archive_read_support_format_rar.c文件的archive_read_format_rar_read_data()函数存在UAF漏洞(use-after-free)。攻击者利用精心构造的压缩文件,触发Libarchive库的ARCHIVE_FAILED后,利用漏洞执行恶意代码。
值得注意的是,这是今年爆出的第二起压缩软件/库中存在代码执行漏洞事件(上一起是WinRAR漏洞CVE-2018-20250)。由于压缩软件/库广泛使用,受影响软件全部更新需要较长时间,攻击者可以长期利用这些漏洞发起攻击。
【攻击监控】
暂未发现在野攻击,腾讯御见威胁情报中心将继续密切关注。
【修复建议】
1.Libarchive开发团队已提供修复了该漏洞的最新版本3.4.0,建议尽快下载更新。
https://github.com/libarchive/libarchive/releases/tag/v3.4.0
2.Linux各发行版安全更新信息如下:
Debian:https://security-tracker.debian.org/tracker/CVE-2019-18408Ubuntu:https://usn.ubuntu.com/4169-1/Gentoo:https://bugs.gentoo.org/show_bug.cgi?id=CVE-2019-18408ArchLinux:https://www.archlinux.org/packages/?sort=&q=libarchive&maintainer=&flagged=
3. 建议近期关注其它可能合入了Libarchive库的软件相关公告,如受影响及时更新。