广泛使用的归档图书馆的严重缺陷将许多项目处于危险之中
在一个全新的新软件项目在大部分基于现有的第三方代码中建立的,在流行的开源库中查找和修补漏洞对于创建可靠和安全的应用至关重要。
例如,思科系统“Talos集团的研究人员最近发现了三种严重缺陷,可能会影响大量软件产品。
libarchive是一个首先为freebsd创建的开源库,但自移植到所有主要操作系统。它提供了对压缩各种算法压缩的文件的实时访问,包括焦油,PAX,CPIO,ISO9660,ZIP,LHA / LZH,RAR,驾驶室和7柱。
该库被许多Linux和BSD系统中包含的文件和包管理器一起使用,以及OS X和Chrome OS中的组件和工具。开发人员还可以在自己的项目中包含库的代码,因此很难知道有多少其他应用程序或固件包包含它。
Cisco Talos研究人员发现了一个整数溢出,缓冲区溢出和处理7-zip,mtree和Rar文件的libarive代码中的堆溢出。
这些是内存损坏错误,可以导致任意代码执行,并且可以通过将特定文件传递给包含易受攻击代码的应用程序来利用。
“当漏洞中发现漏洞(如Libarchive),依赖于和捆绑Libarchive的许多第三方程序受到影响,”Talos研究人员在星期二的博客文章中表示。“这些都是所谓的共同模式故障,使攻击者能够使用单一攻击来损害许多不同的程序/系统。鼓励用户尽快修补所有相关计划。“
Libarchive维护者对这些缺陷发布了补丁,但它们可能需要很长时间才能通过所有受影响的项目删除。因为软件开发人员通常在他们使用和导入可用修补程序的第三方代码中跟踪漏洞的差。
过去的研究表明,许多软件开发公司和创建自定义软件的公司甚至可以清楚地了解其项目中的第三方组件和图书馆,更不用说他们的版本。
复杂数据格式的处理已经历史上导致了许多关键输入验证漏洞,如思科Talos在libarchive中找到的漏洞。这是在广泛使用的库和组件中发现此类缺陷的最后一次。