开源压缩库libarchive代码执行漏洞（CVE-2019-18408）分析

宣布时间 2019-11-25

前言

2019年2月，Check Point宁静研究团队检测发现WinRAR解压缩软件存在若干重大漏洞。攻击者可利用上述漏洞，通过诱使用户使用WinRAR软件打开恶意结构的压缩包文件，执行恶意代码，实现对用户主机入侵的目的。

同样，在不久前谷歌的宁静研究员发现libarchive库中存在漏洞CVE-2019-18408。攻击者可利用精心结构的压缩文件，对受影响用户造成压缩法式拒绝服务或执行恶意代码。

漏洞危害

libarchive是一个开源的压缩和归档库。它支持实时访问多种压缩文件格式，好比7z、zip、cpio、pax、rar、cab、uuencode等，因此应用十分广泛。

这次被曝出的宁静漏洞间接影响到了大量项目和产物。实际上不光是压缩/解压工具可能会接纳libarchive，libarchive还应用于台式机和服务器操作系统（各大Linux刊行版、MacOS、Windows）、种种保证理器（Pacman、XBPS、NetBSD’s、CMake等）、文件浏览器（Springy、Nautilus，GVFs等）中，甚至某些邮件反病毒软件都市用到它，那么攻击者完全可以利用libarchive的漏洞，发送包罗恶意压缩包的邮件，利用漏洞执行任意代码甚至控制设备。

受影响版本：libarchive version < 3.4.0

漏洞原理

当解压RAR格式的压缩文件失败时，法式会继续寻找下一个文件块的Header并进行解码，而之前解压失败并释放的堆空间被重用，造成UAF(Use After Free)漏洞。

通常RAR归档文件格式如下图所示，第一个必须是标志块，其它块之间没有先后顺序。

东森·(中国区)官方网站

所以，可分析如下某正常RAR文件结构：

东森·(中国区)官方网站

前7个字节为RAR格式签名（v5版本以下），0x6152为块CRC，0x72为块类型，0x1A21为块标志，0x0007为块巨细，由此正确判定为rar文件。

当法式处置第一个文件块Header时，因特殊结构导致解码失败，所以read_data_compressed()函数会返回ARCHIVE_FAILED。之后，在archive_read_format_rar_read_data()函数中，rar->ppmd7_context被释放，即CPpmd7结构体指针变量p。

当*buff不为NULL时，也就是unp_buffer（未解压数据）依然存在时，法式会接着处置rar文件，之后会寻找下一个文件块的Header并循环之前的解码步骤。

东森·(中国区)官方网站

法式在解码下一个文件块的时候再次调用read_data_compressed()函数中的Ppmd7_DecodeSymbol()函数进行解码，再次使用被释放的工具p，因此造成UAF。

漏洞修补

libarchive 团队已在Github上提交最新的修复版本，建议受影响用户尽快下载并更新：

https://github.com/libarchive/libarchive/releases/tag/v3.4.0

各大Linux刊行版宁静更新信息如下：

Debian：https://security-tracker.debian.org/tracker/CVE-2019-18408

Ubuntu：https://usn.ubuntu.com/4169-1/

Gentoo：https://bugs.gentoo.org/show_bug.cgi?id=CVE-2019-18408

Arch Linux：https://www.archlinux.org/packages/?sort=&q=libarchive&maintainer=&flagged=

补丁分析

在最新版v3.4.0中，释放rar->ppmd7_conext之后，开发者将rar->start_new_table置为1，rar->ppmd_valid置为0，因此Ppmd7_DecodeSymbol()函数在read_data_compressed()中不再调用。

东森·(中国区)官方网站

在parse_code()函数中，对第二个文件块进行解码，但无法创建新的哈夫曼编码表，因此最终返回-30，其值是ARCHIVE_FATAL的宏界说，而ARCHIVE_FATAL意味着法式不再进行任何操作并进行退出处置。

东森·(中国区)官方网站

对于rar>ppmd_valid的设置，可以确保在rar_br_bits为0的情况下，类似结构的RAR文件在parse_code阶段始终可以返回ARCHIVE_FATAL。

东森·(中国区)官方网站

参考文献：

1.https://www.zdnet.com/article/libarchive-vulnerability-can-lead-to-code-execution-on-linux-freebsd-netbsd/#ftag=RSSbaffb68/

2.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18408

3.https://github.com/libarchive/libarchive/compare/v3.3.3...v3.4.0

4.https://lists.debian.org/debian-lts-announce/2019/10/msg00034.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

开源压缩库libarchive代码执行漏洞（CVE-2019-18408）分析

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线