Libarchive库中的一个漏洞影响了主要Linux发行版

Google专家在压缩库libarchive中发现了一个漏洞,为CVE-2019-18408,可能导致任意代码执行。libarchive库是一种多格式的存档和压缩库,它实现用于读取/写入各种压缩格式的单个接口。该漏洞影响主要的Linux发行版,包括Debian,Ubuntu,Arch Linux,FreeBSD和NetBSD。

CVE-2019-18408漏洞是一个先使用后使用的问题,可被利用来导致拒绝服务条件,并可能执行任意代码。可以通过诱骗受害者打开特制的格式错误的存档来利用此漏洞。

“ archive_read_support_format_rar中的archive_read_format_rar_read_data。 libarchive库“ 3.4.0之前的版本在某些ARCHIVE_FAILED情况下具有先后使用功能,与Ppmd7_DecodeSymbol有关。

Windows和 苹果系统 使用该库的文件不会受到影响。

该漏洞已在3.4.0版中进行了修补。