Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 23/6/2016
Programmeringsbiblioteket Libarchive har lukket tre alvorlige sikkerhedshuller. Biblioteket indgår i mange produkter, heriblandt pakkemanagere under Linux og komprimeringsprogrammet 7-Zip.Alle sårbarhederne er bufferoverløb, der skyldes manglende inputvalidering. En angriber kan udnytte sårbarhederne ved at udforme en komprimeret fil på en bestemt måde.
Libarchive indgår blandt andet i 7-Zip, Mtree, Badtar, Pacman, XBPS, pkg_install til NetBSD, Tarsnap, Springy, GnuWin32, Darwinports, Debian Linux og flere andre produkter.
Anbefaling
Opdater til Libarchive 3.2.1, der lukker hullerne. Undersøg, om der er kommet en opdateret version af produkter, der anvender Libarchive.