image

Beveiligingslek in 7-Zip maakt remote code execution mogelijk

donderdag 21 november 2024, 11:33 door Redactie, 6 reacties

Een beveiligingslek in de populaire archiveringssoftware 7-Zip maakt remote code execution mogelijk. Op 19 juni van dit jaar verscheen een versie waarin het probleem is verholpen, maar in de release notes wordt het bestaan van de kwetsbaarheid (CVE-2024-11477) nergens vermeld. Details over de kwetsbaarheid zijn nu door securitybedrijf ZDI openbaar gemaakt. Het bedrijf waarschuwde 7-Zip op 12 juni voor het probleem.

De kwetsbaarheid bevindt zich in de implementatie van het Zstandard (ZSTD) compressie-algoritme. Via het algoritme is het mogelijk om bestanden te comprimeren. De manier waarop 7-Zip dit algoritme had geïmplementeerd zorgde ervoor dat gebruikersinvoer niet goed werd gevalideerd, wat bij het uitpakken van een archief kan leiden tot een 'Integer Underflow'. Een aanvaller kan de kwetsbaarheid gebruiken om code in de context van het huidige proces uit te voeren.

Het ZDI stelt dat er afhankelijk van de implementatie verschillende aanvalsvectoren zijn waarop een aanvaller misbruik van het beveiligingslek kan maken, maar de meest voor de hand liggende is een doelwit een malafide archiefbestand laten openen. De kwetsbaarheid is verholpen in 7-Zip 24.07. De release notes van deze versie laten alleen weten dat er een 'bug' is gefixt waardoor 7-Zip bij sommige incorrecte ZSTD-archieven zou kunnen crashen. Nergens wordt echter het CVE-nummer of het bestaan van een kwetsbaarheid vermeld.

Reacties (6)
21-11-2024, 11:39 door Anoniem
De kwetsbaarheid is verholpen in 7-Zip 24.07. De release notes van deze versie laten alleen weten dat er een 'bug' is gefixt waardoor 7-Zip bij sommige incorrecte ZSTD-archieven zou kunnen crashen. Nergens wordt echter het CVE-nummer of het bestaan van een kwetsbaarheid vermeld
Dit is niet zo netjes. Er zullen organisaties zijn die de releasenotes doornemen en enkel updaten in het geval zij het nodig vinden.
21-11-2024, 12:01 door Anoniem
ach, een bedrijf krijgt zijn 5 minutes of fame niet... jammer maar geen doden gevallen.
21-11-2024, 15:33 door Anoniem
'K heb de vertaalde info zekerheidshalve doorgestuurd naar de maintainer bij Debian.
Downstream in Mint 22 stond 7zip nog op v 23.01+dfsg-11
22-11-2024, 10:04 door Anoniem
Na de vertaalde info zekerheidshalve te hebben doorgestuurd naar de 7zip package maintainer Yokota bij Debian
bevestigt deze nu er z.s.m. naar te zullen kijken.
Indien relevant zal er een security update van 7zip komen zodat alle downstream distributies Debian, Ubuntu, Mint etc. etc. dit automatisch zullen oppikken en doorgeven...
24-11-2024, 20:41 door Anoniem
Grappig, ik vond vandaag zo'n Fido Dido elastisch ijzerdraadpoppetje van 7-up marketing in mijn schoen. Zal wel stille hint van mijn kinderen zijn dat ze hun schoen willen zetten. Moest ik toch weer uitleggen wat FIDO is.
02-12-2024, 12:43 door Anoniem
7-zip?
Één groot konijnen-hol: https://www.youtube.com/watch?v=i5L9xEk_adw

(maar zolang het goed werkt, werkt het...)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.