Libarchive: Entwickler stopfen Sicherheitslöcher

Die Bibliothek Libarchive ermöglicht es, verschiedene Streaming-Archiv-Formate zu lesen und zu schreiben. Die Libarchive-Entwickler haben einige Sicherheitslücken behoben.

Im Einzelnen handelt es sich um die folgenden Schwachstellen:

(1) Buffer-Overflow-Schwachstelle beim Lesen von CAB-Dateien:
Der Programmierfehler liegt in den Anweisungen zum Auslesen des Huffman-Codes und hat zur Folge, dass ein entfernter Angreifer mit Hilfe einer geschickten CAB-Datei Befehle mit den Rechten des Anwenders ausführen kann.

(2) Verschiedene Buffer-Overflows in Lese-Funktionen:
Die Datei “archive_read_support_format_iso9660.c” enthält mehrere Overflows, die beim Verarbeiten von Archiven auftreten können. Dadurch kann ein Angreifer ebenfalls Befehle ausführen.

(3) Fehler beim Verarbeiten von Tar-Archiven:
Mit Hilfe einer geschickt konstruierten Tar-Datei kann ein Angreifer Befehle mit den Rechten des Anwenders ausführen.

(4) Use-after-free-Bug:
Bei Fehlern dieser Gattung wird dynamisch allozierter Speicher nach dessen Freigabe wiederverwendet. Meist hat dies den Absturz der Applikation zur Folge und kann deshalb für Denial-of-Service-Attacken verwendet werden.

Betroffen sind die Libarchive Versionen vor 2.8.5.

Nach oben