开源压缩库libarchive代码执行缝隙（CVE-2019-18408）分析

颁布功夫 2019-11-25

前言

2019年2月，，，Check Point安全钻研团队检测发现WinRAR解压缩软件存在若干重大缝隙�！９セ髡呖衫蒙鲜龇煜�，，，通过诱使用户使用WinRAR软件打开恶意机关的压缩包文件，，，执行恶意代码，，，实现对用户主机入侵的主张�！�

同样，，，在不久前谷歌的安全钻研员发现libarchive库中存在缝隙CVE-2019-18408�！９セ髡呖衫镁幕氐难顾跷募�，，，对受影响用户造成压缩法式回绝服务或执行恶意代码�！�

缝隙�：：�

libarchive是一个开源的压缩和归档库�！ＫС质凳苯蛹嘀盅顾跷募迨�，，，好比7z、、、zip、、、cpio、、、pax、、、rar、、、cab、、、uuencode等，，，因而利用极度宽泛�！�

这次被曝出的安全缝隙间接影响到了大量项目和产品�！Ｏ质瞪喜坏茄顾�/解压工具可能会选取libarchive，，，libarchive还利用于台式机和服务器操作系统（各大Linux刊行版、、、MacOS、、、Windows）、、、各类包治理器（Pacman、、、XBPS、、、NetBSD’s、、、CMake等）、、、文件浏览器（Springy、、、Nautilus，，，GVFs等）中，，，甚至某些邮件反病毒软件城市用到它，，，那么攻击者齐全能够利用libarchive的缝隙，，，发送蕴含恶意压缩包的邮件，，，利用缝隙执行肆意代码甚至节制设备�！�

受影响版本：：libarchive version < 3.4.0

缝隙道理

当解压RAR体式的压缩文件失败时，，，法式会持续寻找下一个文件块的Header并进行解码，，，而之前解压失败并开释的堆空间被重用，，，造成UAF(Use After Free)缝隙�！�

通常RAR归档文件体式如下图所示，，，第一个必须是标志块，，，其它块之间没有先后挨次�！�

OG东方厅·(中国大陆)

所以，，，可分析如下某正常RAR文件机关：：

OG东方厅·(中国大陆)

前7个字节为RAR体式署名（v5版本以下），，，0x6152为块CRC，，，0x72为块类型，，，0x1A21为块标志，，，0x0007为块巨细，，，由此正确判定为rar文件�！�

当法式处置第一个文件块Header时，，，因特殊机关导致解码失败，，，所以read_data_compressed()函数会返回ARCHIVE_FAILED�！Ｖ�，，，在archive_read_format_rar_read_data()函数中，，，rar->ppmd7_context被开释，，，即CPpmd7结构体指针变量p�！�

当*buff不为NULL时，，，也就是unp_buffer（未解压数据）依然存在时，，，法式会接着处置rar文件，，，之后会寻找下一个文件块的Header并循环之前的解码步骤�！�

OG东方厅·(中国大陆)

法式在解码下一个文件块的时辰再次挪用read_data_compressed()函数中的Ppmd7_DecodeSymbol()函数进行解码，，，再次使用被开释的对象p，，，因而造成UAF�！�

缝隙修补

libarchive 团队已在Github上提交最新的修复版本，，，建议受影响用户尽快下载并更新：：

https://github.com/libarchive/libarchive/releases/tag/v3.4.0

各大Linux刊行版安全更新信息如下：：

Debian：：https://security-tracker.debian.org/tracker/CVE-2019-18408

Ubuntu：：https://usn.ubuntu.com/4169-1/

Gentoo：：https://bugs.gentoo.org/show_bug.cgi?id=CVE-2019-18408

Arch Linux：：https://www.archlinux.org/packages/?sort=&q=libarchive&maintainer=&flagged=

补丁分析

在最新版v3.4.0中，，，开释rar->ppmd7_conext之后，，，开发者将rar->start_new_table置为1，，，rar->ppmd_valid置为0，，，因而Ppmd7_DecodeSymbol()函数在read_data_compressed()中不再挪用�！�

OG东方厅·(中国大陆)

在parse_code()函数中，，，对第二个文件块进行解码，，，但无法创建新的哈夫曼编码表，，，因而最终返回-30，，，其值是ARCHIVE_FATAL的宏界说，，，而ARCHIVE_FATAL意味着法式不再进行任何操作并进行退出处置�！�

OG东方厅·(中国大陆)

对于rar>ppmd_valid的设置，，，能够确保在rar_br_bits为0的情况下，，，类似机关的RAR文件在parse_code阶段始终能够返回ARCHIVE_FATAL�！�

OG东方厅·(中国大陆)

参考文件：：

1.https://www.zdnet.com/article/libarchive-vulnerability-can-lead-to-code-execution-on-linux-freebsd-netbsd/#ftag=RSSbaffb68/

2.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18408

3.https://github.com/libarchive/libarchive/compare/v3.3.3...v3.4.0

4.https://lists.debian.org/debian-lts-announce/2019/10/msg00034.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研

开源压缩库libarchive代码执行缝隙（CVE-2019-18408）分析

关于OG东方厅

解决规划

安全钻研

联系OG东方厅

7*24小时服务热线