广泛使用的归档图书馆的严重缺陷将许多项目处于危险之中
研究:OpenStack用户满意度评级下降,因为采用开源云升起
财团希望从伦敦驾驶自动车到牛津
嘿Siri?致电911 for gi-gi。她会是对的,伴侣。锅炉
瑞典报纸说,爱立信今年夏天将在今年夏天休息3,000
IT服务'Mega-Child'DXC采取第一步
Atari将建立在低功耗网络上谈论的IOT设备
荆棘首席执诗人使用机器学习和技术伙伴关系来解决在线儿童性虐待
新的FAA无人机规则将阻碍亚马逊的交付计划
SAP推动进入机器学习
Dropbox通过董事会增强其生产力工具
为什么智能城市需要变得更聪明的技术
重建和改造:住房协会关于沟通遗产的好处,内部部署技术
Facebook 5月(或可能不会)根据您的位置建议朋友
机器人自动化在北欧起飞
Safari 10默认关闭闪光灯
Cloudian推出了坐的斜视400对象存储框
政府隐私顾问退出并抨击内阁办公室缺乏支持
英国企业最不可能向Infosec专业人士提供奖励
面试:马克波特,首席技术官,HPE
谷歌将帮助人们发现失去的iPhone
Microsoft Scoops Up UP $ 26.2b现金
亚马逊将于2017年创建5,000名英国工作岗位
微软的出版物让iPhone用户在Go上构建简单的广告
这种量子电路的新型号就像一个5甲板三明治
Derbyshire NHS Trust采用简单的BI方法来确保患者安全
赛门铁克产品的伤害缺陷将数百万台计算机暴露在黑客攻击
AWS Executive说,来自Top Exec的购买是云转换的关键
Verizon为雅虎的核心互联网业务提供3B美元
谷歌的纳税负债审查与西班牙语袭击进行了加剧
IBM使用PCIe 3.0箱刷新All-Flash DS8880系列
Crypto Ransomware命中的企业用户数量是暴涨
大数据正在更改备份和恢复的游戏
外部希捷集线器将8TB存储添加到Chromebook,Raspberry Pi 3
研究人员通过控制风扇的噪音来窃取来自PC的数据
联想刚刚签署了一项指向VR未来的筹码交易
Facebook在2017年掀起了10,000名妇女的誓言
切割C跨度饲料后,民主党人的枪支控制静脉检查进入潜望镜
黑客销售了170,000名受损服务器,许多人在美国。
Lockheed Martin Backs英国Cyber​​ Dirst技能计划
是apstra sdn吗?同样的想法,不同的角度
教师需要帮助'让孩子们进入茎
John Manzoni说,更好地利用数据可以改善政府提供的服务交付
Cloud Consortium说欧盟更简单的电子签名规则并不足够简单
政府数字战略承诺侧重于技能和行业伙伴关系
HPE的CTO在公司的更大变化中离开了
所需的IOT安全性的多层方法
广告支持的小工具的胜利和悲惨的短视返回
神秘的恶意软件目标工业控制系统,借用Stuxnet技术
Xiaomi Feeds Microsoft Pater Troll - 支付专利收费
您的位置:首页 >论坛 > 电子业界 >

广泛使用的归档图书馆的严重缺陷将许多项目处于危险之中

2021-07-07 08:44:21 [来源]:

在一个全新的新软件项目在大部分基于现有的第三方代码中建立的,在流行的开源库中查找和修补漏洞对于创建可靠和安全的应用至关重要。

例如,思科系统“Talos集团的研究人员最近发现了三种严重缺陷,可能会影响大量软件产品。

libarchive是一个首先为freebsd创建的开源库,但自移植到所有主要操作系统。它提供了对压缩各种算法压缩的文件的实时访问,包括焦油,PAX,CPIO,ISO9660,ZIP,LHA / LZH,RAR,驾驶室和7柱。

该库被许多Linux和BSD系统中包含的文件和包管理器一起使用,以及OS X和Chrome OS中的组件和工具。开发人员还可以在自己的项目中包含库的代码,因此很难知道有多少其他应用程序或固件包包含它。

Cisco Talos研究人员发现了一个整数溢出,缓冲区溢出和处理7-zip,mtree和Rar文件的libarive代码中的堆溢出。

这些是内存损坏错误,可以导致任意代码执行,并且可以通过将特定文件传递给包含易受攻击代码的应用程序来利用。

“当漏洞中发现漏洞(如Libarchive),依赖于和捆绑Libarchive的许多第三方程序受到影响,”Talos研究人员在星期二的博客文章中表示。“这些都是所谓的共同模式故障,使攻击者能够使用单一攻击来损害许多不同的程序/系统。鼓励用户尽快修补所有相关计划。“

Libarchive维护者对这些缺陷发布了补丁,但它们可能需要很长时间才能通过所有受影响的项目删除。因为软件开发人员通常在他们使用和导入可用修补程序的第三方代码中跟踪漏洞的差。

过去的研究表明,许多软件开发公司和创建自定义软件的公司甚至可以清楚地了解其项目中的第三方组件和图书馆,更不用说他们的版本。

复杂数据格式的处理已经历史上导致了许多关键输入验证漏洞,如思科Talos在libarchive中找到的漏洞。这是在广泛使用的库和组件中发现此类缺陷的最后一次。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。