Stefan 'lerothas' D. Aug 18

Just a quick reminder that #debian stable 13 still has a vulnerable version #libarchive package in it's repositories:

So be careful out there!

UPDATE: In Debian and Ubuntu are patched versions available. Please Update!
But: one vulnerability is still in their packages with low severity.

Sources:
https://security-tracker.debian.org/tracker/source-package/libarchive
https://ubuntu.com/security/CVE-2025-5914

Information on source package libarchive

Marcel SIneM(S)USAug 12
#libarchive: Sicherheitslücke entpuppt sich als kritisch | Security https://www.heise.de/news/libarchive-Sicherheitsluecke-entpuppt-sich-als-kritisch-10516447.html #Patchday
libarchive: Sicherheitslücke entpuppt sich als kritisch

Eine Sicherheitslücke in libarchive entpuppt sich als kritisches Risiko. Auf die Aktualisierung ist nun das CERT-Bund gestoßen.

heise online
🐦‍🔥nemo™🐦‍⬛ 🇺🇦🍉Aug 12
🚨 Kritische Sicherheitslücke in der Open-Source-Bibliothek libarchive entdeckt! Ein Fehler beim Verarbeiten von .rar-Archiven kann Speicherstörungen, Schadcode-Ausführung oder DoS verursachen (CVE-2025-5914, CVSS 9.8). Updates dringend empfohlen! Mehr Infos: https://www.heise.de/news/libarchive-Sicherheitsluecke-entpuppt-sich-als-kritisch-10516447.html #CyberSecurity #libarchive #Sicherheitslücke 🔐💻
#newz
libarchive: Sicherheitslücke entpuppt sich als kritisch

Eine Sicherheitslücke in libarchive entpuppt sich als kritisches Risiko. Auf die Aktualisierung ist nun das CERT-Bund gestoßen.

heise online
Shawn WebbAug 11

Dear #Linux Distributions,

Please switch to #BSDTar by default. It's the archive Swiss Army Knife, able to read many, many additional file formats thanks to #libarchive.

Thank you for coming to my TED talk,

#WinningWithBSD

zwangseinweisungAug 11
Hmmm... Das CVE zu #libarchive ist irgendwie lustig. Wird als kritisch eingestuft aber der Bug funktioniert erst wenn man mehr als 103GB Arbeitsspeicher hat
https://github.com/libarchive/libarchive/pull/2598
rar: Fix double free with over 4 billion nodes by stoeckmann · Pull Request #2598 · libarchive/libarchive

If a system is capable of handling 4 billion nodes in memory, a double free could occur because of an unsigned integer overflow leading to a realloc call with size argument of 0. Eventually, the cl...

GitHub
Neustradamus :xmpp: :linux:Apr 18, 2025
#libarchive 3.7.9 has been released (#MultiFormatArchive / #CompressionLibrary / #FileArchiver / #DataCompression / #7Zip / #7z / #RAR / #ZIP / #GZip / #TAR / #XAR / #WARC / #BZIP2 / #XZ) https://www.libarchive.org/
libarchive - C library and command-line tools for reading and writing tar, cpio, zip, ISO, and other archive formats @ GitHub

Show threadvisoneFeb 23, 2025
@knasman
#foot - terminal emulator
#sfeed - rss feeds
#tofi - aplications menu
#libarchive - compression formats
#rsync - incremental backups
#mpv - video player
#toot - mastodon client
#fnf fuzzy finder
#rtorrent - torrent client
#aria2c - downloader
#qemu -- virtualization
HabrFeb 17, 2025

Security Week 2508: уязвимости встроенного архиватора Windows

В октябре 2023 года в Microsoft Windows была добавлена поддержка 11 форматов сжатия данных. Операционная система, долгое время нативно поддерживающая только архивы .zip, научилась разархивировать файлы в формате RAR, 7z и прочих. Реализовано это было с помощью библиотеки libarchive , которая распространяется с открытым исходным кодом. Исследователи из команды DEVCORE проанализировали эту относительно свежую функциональность и обнаружили пару новых уязвимостей. Первая уязвимость ( CVE-2024-26185 ), которую удалось обнаружить исследователям, относится к классу Path Traversal. Это крайне распространенная ошибка, при которой «подготовленный» архив получается сохранить не во временную директорию и не куда указал пользователь, а куда угодно. Достигается это манипуляциями с абсолютным путем к файлу в архиве, которые недостаточно хорошо фильтруются при распаковке. В результате получается то, что изображено на скриншоте: при распаковке архива RAR-файл сохраняется в произвольное место в системе, в данном случае в корневую директорию.

https://habr.com/ru/companies/kaspersky/articles/883288/

#ИБ #windows #libarchive

Security Week 2508: уязвимости встроенного архиватора Windows

В октябре 2023 года в Microsoft Windows была добавлена поддержка 11 форматов сжатия данных. Операционная система, долгое время нативно поддерживающая только архивы .zip, научилась разархивировать...

Хабр
Show threadRadio AzureusDec 28, 2024

@visone
The machine I work on has a ENV where compilation of sources is not simple, because I only installed what is needed for the distro, to compile its stuff when needed (MX Linux, debian based)

As a result, I cant compile the source from libarchive, which I located on github

MX Linux and debian dont have a .deb of it. For now I'll need to stick with 7z

https://github.com/libarchive/libarchive/releases/tag/v3.7.7

🖋️ #bash #sh #zsh #ksh #csh #compression #libarchive #freeBSD #Linux #POSIX #Programming

Release Libarchive 3.7.7 · libarchive/libarchive

Libarchive 3.7.7 is a bugfix and security release Security fixes: gzip: prevent a hang when processing a malformed gzip inside a gzip (#2366, OSS-Fuzz) tar: don't crash on truncated tar archives (...

GitHub
BSI WID Advisories FeedOct 10, 2024

#BSI WID-SEC-2024-3142: [NEU] [mittel] #libarchive: Mehrere Schwachstellen ermöglichen Umgehen von Sicherheitsvorkehrungen

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in libarchive ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-3142

Warn- und Informationsdienst