Vulnérabilité dans libarchive
Date de publication :
Une vulnérabilité critique a été découverte dans libarchive, une bibliothèque d’archives et de compression multi-formats. Elle peut permettre à un attaquant distant de provoquer un déni de service et possiblement d’autres impacts non spécifiés.
CVE-2020-9308 [Score CVSS v3 : 8.8] : Une erreur d’analyse dans la fonction archive_read_support_format_rar5.c amène celle-ci à essayer de décompresser des fichiers RAR5 ayant une entête invalide ou corrompue (par exemple une entête ayant une taille nulle). Ceci peut provoquer une erreur de segmentation qui peut résulter en un déni de service. Il est aussi précisé que d’autres impacts non spécifiés pourraient résulter de l’exploitation de cette vulnérabilité.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier RAR5 spécialement forgé à un utilisateur afin que celui-ci essaye de le décompresser et ainsi causer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Déni de service
Autre(s) problème(s) de sécurité non spécifiés
Criticité
-
Score CVSS v3 : 8.8
Existence d’un code d’exploitation
-
Aucun code d’exploitation n’est disponible, cependant cette vulnérabilité ne nécessite pas des compétences techniques élevées pour pouvoir l’exploiter
Composants vulnérables
-
libarchive versions antérieures à la 3.4.2
CVE
-
CVE-2020-9308
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour libarchive vers la version 3.4.2 ou supérieure
Solution de contournement
- Aucune solution de contournement n’est disponible