Marcel SIneM(S)US2d ago
#libarchive: Sicherheitslücke entpuppt sich als kritisch | Security https://www.heise.de/news/libarchive-Sicherheitsluecke-entpuppt-sich-als-kritisch-10516447.html #Patchday
libarchive: Sicherheitslücke entpuppt sich als kritisch

Eine Sicherheitslücke in libarchive entpuppt sich als kritisches Risiko. Auf die Aktualisierung ist nun das CERT-Bund gestoßen.

heise online
nemo™ 🇺🇦2d ago
🚨 Kritische Sicherheitslücke in der Open-Source-Bibliothek libarchive entdeckt! Ein Fehler beim Verarbeiten von .rar-Archiven kann Speicherstörungen, Schadcode-Ausführung oder DoS verursachen (CVE-2025-5914, CVSS 9.8). Updates dringend empfohlen! Mehr Infos: https://www.heise.de/news/libarchive-Sicherheitsluecke-entpuppt-sich-als-kritisch-10516447.html #CyberSecurity #libarchive #Sicherheitslücke 🔐💻
#newz
libarchive: Sicherheitslücke entpuppt sich als kritisch

Eine Sicherheitslücke in libarchive entpuppt sich als kritisches Risiko. Auf die Aktualisierung ist nun das CERT-Bund gestoßen.

heise online
Shawn Webb3d ago

Dear #Linux Distributions,

Please switch to #BSDTar by default. It's the archive Swiss Army Knife, able to read many, many additional file formats thanks to #libarchive.

Thank you for coming to my TED talk,

#WinningWithBSD

zwangseinweisung3d ago
Hmmm... Das CVE zu #libarchive ist irgendwie lustig. Wird als kritisch eingestuft aber der Bug funktioniert erst wenn man mehr als 103GB Arbeitsspeicher hat
https://github.com/libarchive/libarchive/pull/2598
rar: Fix double free with over 4 billion nodes by stoeckmann · Pull Request #2598 · libarchive/libarchive

If a system is capable of handling 4 billion nodes in memory, a double free could occur because of an unsigned integer overflow leading to a realloc call with size argument of 0. Eventually, the cl...

GitHub
Neustradamus :xmpp: :linux:Apr 18
#libarchive 3.7.9 has been released (#MultiFormatArchive / #CompressionLibrary / #FileArchiver / #DataCompression / #7Zip / #7z / #RAR / #ZIP / #GZip / #TAR / #XAR / #WARC / #BZIP2 / #XZ) https://www.libarchive.org/
libarchive - C library and command-line tools for reading and writing tar, cpio, zip, ISO, and other archive formats @ GitHub

Show threadvisoneFeb 23
@knasman
#foot - terminal emulator
#sfeed - rss feeds
#tofi - aplications menu
#libarchive - compression formats
#rsync - incremental backups
#mpv - video player
#toot - mastodon client
#fnf fuzzy finder
#rtorrent - torrent client
#aria2c - downloader
#qemu -- virtualization
HabrFeb 17

Security Week 2508: уязвимости встроенного архиватора Windows

В октябре 2023 года в Microsoft Windows была добавлена поддержка 11 форматов сжатия данных. Операционная система, долгое время нативно поддерживающая только архивы .zip, научилась разархивировать файлы в формате RAR, 7z и прочих. Реализовано это было с помощью библиотеки libarchive , которая распространяется с открытым исходным кодом. Исследователи из команды DEVCORE проанализировали эту относительно свежую функциональность и обнаружили пару новых уязвимостей. Первая уязвимость ( CVE-2024-26185 ), которую удалось обнаружить исследователям, относится к классу Path Traversal. Это крайне распространенная ошибка, при которой «подготовленный» архив получается сохранить не во временную директорию и не куда указал пользователь, а куда угодно. Достигается это манипуляциями с абсолютным путем к файлу в архиве, которые недостаточно хорошо фильтруются при распаковке. В результате получается то, что изображено на скриншоте: при распаковке архива RAR-файл сохраняется в произвольное место в системе, в данном случае в корневую директорию.

https://habr.com/ru/companies/kaspersky/articles/883288/

#ИБ #windows #libarchive

Security Week 2508: уязвимости встроенного архиватора Windows

В октябре 2023 года в Microsoft Windows была добавлена поддержка 11 форматов сжатия данных. Операционная система, долгое время нативно поддерживающая только архивы .zip, научилась разархивировать...

Хабр
Show threadRadio AzureusDec 28, 2024

@visone
The machine I work on has a ENV where compilation of sources is not simple, because I only installed what is needed for the distro, to compile its stuff when needed (MX Linux, debian based)

As a result, I cant compile the source from libarchive, which I located on github

MX Linux and debian dont have a .deb of it. For now I'll need to stick with 7z

https://github.com/libarchive/libarchive/releases/tag/v3.7.7

🖋️ #bash #sh #zsh #ksh #csh #compression #libarchive #freeBSD #Linux #POSIX #Programming

Release Libarchive 3.7.7 · libarchive/libarchive

Libarchive 3.7.7 is a bugfix and security release Security fixes: gzip: prevent a hang when processing a malformed gzip inside a gzip (#2366, OSS-Fuzz) tar: don't crash on truncated tar archives (...

GitHub
BSI WID Advisories FeedOct 10, 2024

#BSI WID-SEC-2024-3142: [NEU] [mittel] #libarchive: Mehrere Schwachstellen ermöglichen Umgehen von Sicherheitsvorkehrungen

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in libarchive ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-3142

Warn- und Informationsdienst

mgorny-nyan (he) 🙀🚂🐧Sep 15, 2024

Against all odds, and totally by accident, 32-bit #time_t helps us find another bug. This time, #LibArchive wasn't validating dates in ISO9660, and some garbage data was parsed as random dates.

https://github.com/libarchive/libarchive/pull/2330

#Gentoo

Be more cautious about parsing ISO-9660 timestamps by kientzle · Pull Request #2330 · libarchive/libarchive

Some ISO images don't have valid timestamps for the root directory entry. Parsing such timestamps can generate nonsensical results, which in one case showed up as an unexpected overflow on a 3...

GitHub