摘要:
libarchive security update
安全等级: Low
公告ID: KylinSec-SA-2025-2635
发布日期: 2025年7月13日
关联CVE: CVE-2025-5918 CVE-2025-5915 CVE-2025-5914 CVE-2025-5917 CVE-2025-5916
libarchive是一个采用BSD许可证的开源C编程库,提供对多种归档格式的流式访问支持,包括tar、cpio、pax、zip以及ISO9660镜像。该发行版还包含bsdtar和bsdcpio——这是充分利用libarchive实现的全功能版tar与cpio工具。
安全修复:
在libarchive 3.7.x及更早版本(文件压缩软件)中发现漏洞,被评定为严重级别。CWE将该问题归类为CWE-415:产品对同一内存地址重复调用free()函数,可能导致意外内存位置被修改。此漏洞将影响机密性、完整性与可用性。升级至3.8.0版本可消除此漏洞。(CVE-2025-5914)
在libarchive 3.7.x及更早版本(文件压缩软件)中发现漏洞,被判定为严重级别。该漏洞的CWE定义为CWE-122:堆溢出属于缓冲区溢出的一种,其中可被覆盖的缓冲区分配在内存堆区域,通常意味着缓冲区是通过malloc()等例程分配的。已知会影响机密性、完整性与可用性。升级至3.8.0版本可消除此漏洞。(CVE-2025-5915)
在libarchive 3.7.x及更早版本(文件压缩软件)中发现漏洞,评级为严重级别。根据CWE标准,该问题属于CWE-190:产品执行的计算可能产生整数溢出或回绕,而逻辑假定结果值始终大于原始值。当该计算用于资源管理或执行控制时,可能引发其他缺陷。影响范围包括机密性、完整性与可用性。升级至3.8.0版本可消除此漏洞。(CVE-2025-5916)
在libarchive 3.7.x及更早版本(文件压缩软件)中发现被归类为严重的漏洞。CWE将其标识为CWE-193:产品计算或使用了比正确值大1或小1的错误极值。此漏洞将影响机密性、完整性与可用性。升级至3.8.0版本可消除此漏洞。(CVE-2025-5917)
在libarchive 3.7.x及更早版本(文件压缩软件)中发现被评定为严重的漏洞。该漏洞的CWE定义为CWE-119:产品对内存缓冲区执行操作时,可能读取或写入超出预期缓冲区边界的内存位置。已知会影响机密性、完整性与可用性。升级至3.8.0版本可消除此漏洞。(CVE-2025-5918)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2025-5918 | V6 | libarchive | Fixed |
| CVE-2025-5915 | V6 | libarchive | Fixed |
| CVE-2025-5914 | V6 | libarchive | Fixed |
| CVE-2025-5917 | V6 | libarchive | Fixed |
| CVE-2025-5916 | V6 | libarchive | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| libarchive-help | noarch | 3.7.1-7.ks6 |
| bsdcat | x86_64 | 3.7.1-7.ks6 |
| bsdcpio | x86_64 | 3.7.1-7.ks6 |
| bsdtar | x86_64 | 3.7.1-7.ks6 |
| bsdunzip | x86_64 | 3.7.1-7.ks6 |
| libarchive | x86_64 | 3.7.1-7.ks6 |
| libarchive-devel | x86_64 | 3.7.1-7.ks6 |
| bsdcat | aarch64 | 3.7.1-7.ks6 |
| bsdcpio | aarch64 | 3.7.1-7.ks6 |
| bsdtar | aarch64 | 3.7.1-7.ks6 |
| bsdunzip | aarch64 | 3.7.1-7.ks6 |
| libarchive | aarch64 | 3.7.1-7.ks6 |
| libarchive-devel | aarch64 | 3.7.1-7.ks6 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
