Un bon exemple est libarchive
, une bibliothèque dans laquelle une faille a été découverte par des chercheurs de Google en mai dernier à l’aide des outils de “fuzzing” automatisés tels que ClusterFuzz et OSSFuzz et qui a été corrigée par les mainteneurs de libarchive le 12 juin avec la sortie de la version 3.4.0.
Libarchive, pour ceux qui ne la connaissent pas, est une bibliothèque de compression et d’archivage développée à l’origine pour FreeBSD et qui jouit d’une popularité croissante car elle fonctionne comme un gestionnaire d’archives compressées multifonction, prenant en charge les fichiers et les formats de compression tels que ZIP, gzip, tar, uuencode, 7z. , Microsoft CAB, ISO9660 (images de CD) et beaucoup d’autres.
Elle est également utilisée par Debian, Ubuntu, Gentoo, Arch Linux et Chromebook Chrome OS, ainsi que par des outils tels que la suite d’interopérabilité Samba Linux-Windows, qui ont tous reçu le correctif sorti en juin dernier.
Libarchive fait même partie des logiciels MacOS d’Apple et Windows 10 de Microsoft, bien qu’aucun d’entre eux ne semble être affecté par cette vulnérabilité.
Le bug est identifié sous le nom CVE-2019-18408, un bug de type “use-after-free” hautement prioritaire qui concerne une archive défaillante.
Aucun exploit n’a été détecté sur le terrain, mais s’il devait en exister un, il tenterait d’utiliser une archive malveillante pour provoquer un déni de service ou l’exécution de code arbitraire.
La barre étant plutôt basse, au niveau complexité, pour un potentiel attaquant, une note CVSS de 7.5 lui a donc été attribuée. Cependant, la véritable nuisance réside tout simplement dans le volume critique de logiciels qui l’utilisent, et qui doivent maintenant être tous corrigés.
Étant donné que Google a découvert le problème, nous pensons que le système d’exploitation Chrome a été corrigé pendant l’été, mais que Debian, Ubuntu et bien d’autres doivent encore s’y atteler.
Compte tenu de la large gamme de logiciels utilisant libarchive, les attaquants ont encore beaucoup de cibles potentielles dans le cas où il y aurait des retardataires.
Il ne s’agit pas du premier problème de sécurité que libarchive a connu ces derniers temps. Une vulnérabilité similaire est apparue en 2016, répertoriée sous le nom CVE-2016-1541.
Comme pour ce bug, il n’existe pas de mitigation à court terme, la solution optimale consiste donc à mettre à jour le plus rapidement possible.
Billet inspiré de Linux users warned to update libarchive to beat flaw, sur Sophos nakedsecurity.