#安全资讯 流行的开源压缩管理器 7-Zip 修复两枚缓冲区溢出漏洞,但没有发布任何安全公告,这引起安全研究人员和开源社区的担忧。漏洞于去年 8 月份通报,在今年 1 月份修复,至今开发者 Igor Pavlov 仍然拒绝发布任何安全公告或在更新日志里提到这些漏洞。查看全文:https://ourl.co/104818
据安全研究人员 @msuhanov 在 6 月 19 日发布的消息,流行的开源压缩管理器 7-Zip 在 24.01 测试版中修复了 CVE-2023-52168 漏洞,该漏洞属于缓冲区溢出问题。
还有个漏洞是 CVE-2023-52169,该漏洞则是缓冲区过度读取问题,这与 Linux ntfs3 驱动程序中的内存泄露漏洞具有相同的机制。
研究人员负责任的将漏洞信息通报给开发者 Igor Pavlov,然而在近期更新日志中开发者并未提到任何与之相关的修复信息,但经过分析 7-Zip 24.01 测试版确实已经完成修复。
这些漏洞对本地用户来说实际上潜在影响比较小,例如攻击者可以使用单个进程处理多个不受信任的文档;然而如果在服务器上使用 7-Zip 就可能引起大问题,例如攻击者可以从远程服务器上窃取大量信息。
如果开发者在服务器上部署了 7-Zip 用来执行在线解压或压缩包文件预览等,这种情况下都有可能被攻击者利用造成数据泄露,因此危害还是非常大的。
此次安全问题最大的争议是开发者为什么没有在更新日志中提到该漏洞,也没有发布任何安全公告说明此事,要不是研究人员发布博客否则大家都不清楚还存在这个漏洞。
实际上该漏洞最初的发现时间是 2023 年 8 月 18 日并在同日通报给开发者,到 2024 年 1 月 31 日 7-Zip v24.01 Beta 版进行修复,后续版本例如最新的 24.07 也已经修复该漏洞。
既然已经修复漏洞好歹也应该发布安全公告,结果因为悄悄修复漏洞而不说明,现在 Igor Pavlov 的行为引起了一些开源社区成员的担忧,因为这可能增加漏洞的利用。
开发者 Igor Pavlov 的说法是,如果发布安全公告透露该漏洞,这可能会增加发生攻击的风险。然而到 6 月 19 日安全研究人员发布博客时,漏洞通报已经 272 天、修复版本发布也已经有 106 天。
显然开发者的这种说法不仅没有道理而且还是错误的,因为不发布公告可能不足以引起一些用户尤其是开发者的关注,这会导致修复版本更新率更慢,如果有黑客也发现了漏洞那么可以扩大攻击面。
因此这种情况下将脑袋埋在沙子里显然是个不明智的做法,这让安全研究人员无法理解 (所以发布了漏洞细节),也让开源社区无法理解。
感谢网友 颜黎明 投递的消息