蓝点网
·
7-Zip悄悄修复某个安全漏洞没有发布公告 其他基于7z的压缩软件也需更新
💡
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
开源压缩管理器7-Zip修复了两个缓冲区溢出漏洞,但未发布安全公告,引起担忧。漏洞已修复,但开发者拒绝提及。漏洞对本地用户影响较小,但在服务器上使用可能导致数据泄露。开发者未发布安全公告引发争议,称公告可能增加攻击风险。安全研究人员和开源社区对此担忧。
🎯
关键要点
- 开源压缩管理器7-Zip修复了两个缓冲区溢出漏洞,但未发布安全公告。
- 漏洞CVE-2023-52168和CVE-2023-52169分别涉及缓冲区溢出和过度读取问题。
- 漏洞对本地用户影响较小,但在服务器上使用可能导致数据泄露。
- 开发者Igor Pavlov未在更新日志中提及漏洞修复,引发开源社区担忧。
- 开发者认为发布安全公告可能增加攻击风险,但这一说法受到质疑。
- 安全研究人员和开源社区认为不发布公告可能导致修复版本更新率降低,增加攻击面。
❓
延伸问答
7-Zip修复了哪些安全漏洞?
7-Zip修复了两个缓冲区溢出漏洞,分别是CVE-2023-52168和CVE-2023-52169。
为什么7-Zip没有发布安全公告?
开发者Igor Pavlov认为发布安全公告可能会增加攻击风险,因此没有发布相关公告。
这些漏洞对本地用户的影响大吗?
对本地用户的影响较小,但在服务器上使用时可能导致数据泄露。
开源社区对7-Zip的处理方式有什么看法?
开源社区对开发者未发布公告表示担忧,认为这可能导致修复版本更新率降低,增加攻击面。
7-Zip的漏洞是何时被发现的?
漏洞最初于2023年8月18日被发现,并在同日通报给开发者。
修复后的7-Zip版本是什么时候发布的?
修复版本在2024年1月31日发布,版本号为7-Zip v24.01 Beta。
➡️
