image

Ernstige kwetsbaarheid in archiveringsprogramma 7-Zip gedicht

dinsdag 23 januari 2018, 15:06 door Redactie, 17 reacties

Er is een nieuwe testversie van het opensource-archiveringsprogramma 7-Zip verschenen waarin een ernstig beveiligingslek is gedicht, maar dit wordt niet in de release notes vermeld. Via de kwetsbaarheid kan een aanvaller in het ergste geval de computer overnemen als er een kwaadaardig RAR- of ZIP-bestand wordt geopend. 7-ZIP laat gebruikers allerlei bestanden in- en uitpakken.

Een informaticastudent genaamd Dave ontdekte een manier om via een kwaadaardig RAR- of ZIP-bestand een heap en stack buffer overflow te veroorzaken. Daardoor kan een aanvaller willekeurige code op het systeem uitvoeren. Het probleem wordt vergroot doordat de ontwikkelaar van 7-Zip bepaalde beveiligingsmaatregelen om de impact van een kwetsbaarheid tegen te gaan niet heeft genomen en ook niet van plan is om te nemen.

De ontwikkelaar werd op 6 januari over de kwetsbaarheid (CVE-2018-5996) ingelicht en rolde vier dagen later op 10 januari een update uit. De beveiligingsupdate is echter in een testversie van 7-ZIP verwerkt (18.00 beta). De standaardversie die op de website van 7-Zip wordt aangeboden dateert van 4 oktober 2016. Daarnaast wordt er in de release notes van 7-Zip 18.00 beta nergens melding van het beveiligingslek gemaakt, behalve dat er "een aantal bugs" zijn verholpen.

Reacties (17)
23-01-2018, 15:39 door Hyper
Testversies zijn leuk, maar serieuze eindgebruikers zullen enkel de release versies installeren. Het is dan ook zaak voor de mensen achter 7-Zip om een reguliere release te maken die het beveiligingslek oplost.
23-01-2018, 16:24 door Anoniem
Door Hyper: Testversies zijn leuk, maar serieuze eindgebruikers zullen enkel de release versies installeren. Het is dan ook zaak voor de mensen achter 7-Zip om een reguliere release te maken die het beveiligingslek oplost.

Gelijk heb je. Ik hoop alvast dat er een 0patch van komt.
23-01-2018, 16:34 door Anoniem
Door Hyper: Testversies zijn leuk, maar serieuze eindgebruikers zullen enkel de release versies installeren. Het is dan ook zaak voor de mensen achter 7-Zip om een reguliere release te maken die het beveiligingslek oplost.
Volgens mij is 7-Zip "gratis" software. Waarom moeten de mensen achter 7-Zip dan "verplicht" zijn reguliere updates uit te brengen? In mijn ogen is het eigen keuze om dit product wel of niet te blijven gebruiken nu dit bekend is.
23-01-2018, 17:13 door karma4
Door Anoniem:Volgens mij is 7-Zip "gratis" software. Waarom moeten de mensen achter 7-Zip dan "verplicht" zijn reguliere updates uit te brengen? In mijn ogen is het eigen keuze om dit product wel of niet te blijven gebruiken nu dit bekend is.
Klein probleempje. Het is gratis software en voor een inspanning met kosten is er geen budget gereserveerd.
http://www.7-zip.org/ "7-Zip is open source software."en "You can use 7-Zip on any computer, including a computer in a commercial organization. You don't need to register or pay for 7-Zip"
Het Zip programma wat standaard op Linux staat is al vrij oud, lijkt niet meer onderhouden te worden.
Welk alternatieven heb je?
23-01-2018, 17:18 door Krakatau - Bijgewerkt: 23-01-2018, 17:21
Door karma4:
Door Anoniem:Volgens mij is 7-Zip "gratis" software. Waarom moeten de mensen achter 7-Zip dan "verplicht" zijn reguliere updates uit te brengen? In mijn ogen is het eigen keuze om dit product wel of niet te blijven gebruiken nu dit bekend is.
Klein probleempje. Het is gratis software en voor een inspanning met kosten is er geen budget gereserveerd.
http://www.7-zip.org/ "7-Zip is open source software."en "You can use 7-Zip on any computer, including a computer in a commercial organization. You don't need to register or pay for 7-Zip"

Het is gratis. Het is open source. Beide voordelen. Het open source aspect maakt het mogelijk dat iemand anders dan de oorspronkelijke ontwikkelaar een versie van 7-Zip uitbrengt die wel de voorgestelde verbeteringen heeft.

Door karma4: Het Zip programma wat standaard op Linux staat is al vrij oud, lijkt niet meer onderhouden te worden.

Onder Linux heb je geen 7-Zip nodig. De standaardprogramma's zijn meer dan afdoende. Een 'data-in-data-uit' programma als een ZIP archiver heeft natuurlijk ook weinig onderhoud nodig. Het bestandsformaat ligt immers vast en als er geen beveiligingsproblemen zijn dan geldt afblijven, het werkt.

Door karma4: Welk alternatieven heb je?

Je hebt geen alternatieven nodig.
23-01-2018, 17:22 door Anoniem
Door Hyper: Testversies zijn leuk, maar serieuze eindgebruikers zullen enkel de release versies installeren. Het is dan ook zaak voor de mensen achter 7-Zip om een reguliere release te maken die het beveiligingslek oplost.


Serieuze gebruikers van 7Zip.... een tool die voor slechts 1 OS beschikbaar is en daardoor fouten geeft bij het uitpakken op andere systemen dan windows....

Volkswagen levert hun kaartupdates op deze manier, onwijs leuk als je geen windows hebt ;)
23-01-2018, 18:17 door Anoniem
Door Hyper:
Onder Linux heb je geen 7-Zip nodig. De standaardprogramma's zijn meer dan afdoende. Een 'data-in-data-uit' programma als een ZIP archiver heeft natuurlijk ook weinig onderhoud nodig. Het bestandsformaat ligt immers vast en als er geen beveiligingsproblemen zijn dan geldt afblijven, het werkt.
Afgezien 7z een veel betere compressie heeft.
23-01-2018, 20:53 door Anoniem
Door karma4:
Door Anoniem:Volgens mij is 7-Zip "gratis" software. Waarom moeten de mensen achter 7-Zip dan "verplicht" zijn reguliere updates uit te brengen? In mijn ogen is het eigen keuze om dit product wel of niet te blijven gebruiken nu dit bekend is.

Het Zip programma wat standaard op Linux staat is al vrij oud, lijkt niet meer onderhouden te worden.
Welk alternatieven heb je?

Tja, wat er onder Windows niet is hoef je ook niet patchen. Waarom toch weer Linux erbij halen Karma4 heeft toch geen RUK met 7zip te maken man.
23-01-2018, 23:19 door -karma4
Door Anoniem:
Door karma4: Het Zip programma wat standaard op Linux staat is al vrij oud, lijkt niet meer onderhouden te worden. Welk alternatieven heb je?

Tja, wat er onder Windows niet is hoef je ook niet patchen. Waarom toch weer Linux erbij halen Karma4 heeft toch geen RUK met 7zip te maken man.

Bij kritiek op Windows snel de aandacht proberen af te leiden, weg van Windows. Dat is de doorzichtige strategie van karma4.
24-01-2018, 02:01 door Anoniem
7-Zip before version 18.00
1 versie geleden? Zomaar "een" versie eerder? Alle eerdere versies?

Met welke versie(s) is er nu een probleem dan?
24-01-2018, 08:51 door Anoniem
Igor Pavlov - 7 days ago:
I don't plan any big changes for that [18.00] branch.
So final version will be released soon (maybe in 3 weeks).
18.00 beta is OK to use.

Bron: https://sourceforge.net/p/sevenzip/discussion/45797/thread/628149a0/?page=1

Alternatief: PeaZip (http://www.peazip.org/)
24-01-2018, 09:06 door Anoniem
Door karma4: Het Zip programma wat standaard op Linux staat is al vrij oud, lijkt niet meer onderhouden te worden.
Bij bugmeldingen op Info-ZIP's sourceforge-pagina staan er de nodige al jaren in de status "open", maar als ik er een paar bekijk dan blijkt wel dat de maintainer gewoonlijk dezelfde dag nog een serieuze reactie op een melding geeft. Soms blijkt het geen bug te zijn maar iets wat de melder niet goed had begrepen, soms is het een kleinigheid die in de volgende beta-release verholpen wordt. Die laat dan weer wel op zich wachten, het is bijna een jaar geleden dat er een aangekondigd was in een van die reacties en die zie ik zo snel nergens staan. Het lijkt erop dat de huidige beheerders wel actief opletten maar het feitelijke ontwikkelwerk op een laag pitje hebben staan.

Is het erg dat er zo weinig vaart in zit? Ik denk dat dat in dit geval erg meevalt. Wat er aan functionaliteit in zit is door de jaren al behoorlijk door de mangel gehaald en grote issues zijn onwaarschijnlijk, het is stabiel. Daarnaast is de centrale beheerder van een pakket niet de enige die er verantwoordelijkheid voor neemt, de BSD's en de belangrijke Linux-distro's hebben hun eigen maintainers, security teams en ontwikkelcapaciteit. Het is echt geen uitzondering dat een bugfix voor een pakket uit de koker van een van die OS'en komt en als de upstream maintainer niet goed reageert zijn OS'en prima in staat om de patch van elkaar over te nemen.

Open source softwareontwikkeling heeft daarmee de aard van een netwerk waarin verschillende partijen elkaars gebreken kunnen opvangen en elkaars oplossingen kunnen overnemen. En het gebeurt ook werkelijk regelmatig dat een patch door RedHat, of Debian, of OpenBSD of nog een ander team wordt ontwikkeld en vervolgens door de andere OS'en én door de upstream maintainer worden overgenomen.
24-01-2018, 11:03 door Anoniem
Door Krakatau: Een 'data-in-data-uit' programma als een ZIP archiver heeft natuurlijk ook weinig onderhoud nodig. Het bestandsformaat ligt immers vast en als er geen beveiligingsproblemen zijn dan geldt afblijven, het werkt.

Maar helaas zijn er in dit soort programma's WEL vaak problemen, omdat er gebruik gemaakt wordt van ingewikkelde
data structuren met lengteveldjes en terugverwijzingen naar eerdere data, waardoor slordig programmeren al gauw een
attack mogelijk maakt gebruik makend van overflows of signed/unsigned bugs.
De "fix" maakt de boel vaak trager (door extra controles toe te voegen) en historisch zijn nieuwe formaten en tools vaak
juist op de markt gezet als "veel sneller dan de concurrent/voorganger".
24-01-2018, 13:57 door Briolet
Door Krakatau: Onder Linux heb je geen 7-Zip nodig. De standaardprogramma's zijn meer dan afdoende. Een 'data-in-data-uit' programma als een ZIP archiver heeft natuurlijk ook weinig onderhoud nodig. Het bestandsformaat ligt immers vast …

Het standaard Zip/Unzip programma staat ook op de mac, maar dat programma ondersteunt geen files met bestanden groter dan 4 GB. Voor Windows en Linux zijn er blijkbaar wel aanvullingen op het programma die deze grootte toch aan kunnen, maar op de Mac kun je die Zips niet uitpakken met de standaard aanwezige Upzip functie. (Althans was dat 3 jaar geleden zo)

Gelukkig is er wel een andere zipper voor de mac die ook 7Zip files aankan en ook dergelijke grote, gezipte bestanden.

Op de Synology nas (linux) hebben ze een paar jaar geleden de Zip er uit gegooid en vervangen door 7Zip. (Unzip is wel gebleven)
25-01-2018, 06:51 door karma4
Door Krakatau: .....
Je hebt geen alternatieven nodig.
Gewoon in wat meer serieuze omgevonden aan het werk. De praktijk geeft het tegendeel als resultaat. Gebruik het eens echt op die manier.

Die standaard linux zip vertoont een buffer overflow probleem ergens bij de 64k directories met boven de 120k bestanden.
Misbruik voor een hack sluit ik niet uit. Het kan een verklaring zijn voor wat hierboven gemeld is over synology. Unzip laten staan en 7zip er op zetten heeft een reden.

Heb je wat bestandjes van vele G'S dan wordt het leuk om die onder Windows standaard Unzip te proberen. Loop je zo te zien tegen een big endian little endian verschil aan. LoOp je daar op stuk heb je daar ook een alternatief voor nodig.

De standaard tooltjes zij zo vrijwel nooit echt geschikt. Gaat een of andere os nerd lopen roepen dat het os allemaal perfect is en dat het de schuld van de applicatie is dan hebben we een behoorlijk probleem.

Wanneer wordt ict als hulpmiddel en niet als doel gezien?
Dat os evangelisme is behoorlijk storend.
Misschien pea.. eerst de os nerds blokkade.
26-01-2018, 12:49 door Krakatau
Door karma4: Loop je zo te zien tegen een big endian little endian verschil aan. LoOp je daar op stuk heb je daar ook een alternatief voor nodig.

Doe niet zo raar digibeet. Het bestandsformaat op schijf heeft natuurlijk een vastgelegde, afgesproken endianness.
29-01-2018, 16:16 door Anoniem
Inmiddels staat de final, stable release 18.01 op de site.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.