libarchive: Sicherheitslücke entpuppt sich als kritisch

In der Open-Source-Kompressionsbibliothek libarchive klafft eine Sicherheitslücke, die zunächst als lediglich niedriges Risiko eingestuft wurde. Einige Zeit nach der Veröffentlichung aktualisierter Quellen kam das US-amerikanische NIST jedoch zu der Einschätzung, dass das Leck sogar eine kritische Bedrohung darstellt. Darauf wurde nun das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) aufmerksam.

Bei der Verarbeitung von .rar-Archiven kann ein Ganzzahlüberlauf in der Funktion archive_read_format_rar_seek_data() auftreten. In dessen Folge kann es zu einem „Double Free“ kommen, bei dem bereits freigegebene Ressourcen nochmals freigegeben werden. Dabei kommt es potenziell zu Störungen des Speichers, wodurch Angreifer etwa Schadcode einschleusen und ausführen oder einen Denial-of-Service-Zustand hervorrufen können (CVE-2025-5914 / EUVD-2025-17572, CVSS 9.8, Risiko „kritisch„).

Nachträglich höheres Risiko erkannt

Die ursprüngliche Meldung der Lücke an das libarchive-Projekt durch Tobias Stöckmann mitsamt eines Proof-of-Concept-Exploits fand bereits am 10. Mai dieses Jahres statt. Am 20. Mai haben die Entwickler die Version 3.8.0 von libarchive herausgegeben. Die öffentliche Schwachstellenmeldung erfolgte am 9. Juni ebenfalls auf Github. Dort wurde auch die CVE-Nummer CVE-2025-5914 zugewiesen, jedoch zunächst mit dem Schweregrad CVSS 3.9, Risiko „niedrig„, wie Red Hat die Lücke einordnete.

Mit einem aktualisierten Angriffsvektor kam das NIST am 20. Juni jedoch zur Einschätzung, dass das Risiko auf einen CVSS-Wert von 9.8 kommt und mithin „kritisch“ einzustufen ist. Die Änderung blieb weitgehend unbemerkt, bis FreeBSD zum Wochenende eine eigene Sicherheitsmitteilung veröffentlicht hat.

Nicht nur Linux- und Unix-Distributionen setzen auf libarchive – wo Admins die Softwareverwaltung anwerfen und nach bereitstehenden Aktualisierungen suchen lassen sollten –, sondern auch in Windows ist inzwischen libarchive am Werk. Zur Ankündigung des aufgebohrten Windows-ZIP-Tools, das inzwischen mehrere Archivformate beherrscht, gab der Leiter damalige Panos Panay der Produktabteilung Windows und Geräte zur Microsoft Build 2023 bekannt, dass die native Unterstützung für .tar, 7-zip, .rar, .gz und viele andere durch die Nutzung des Open-Source-Projekts libarchive hergestellt wird. Es ist derzeit unklar, ob Microsoft etwa zum kommenden Patchday die eingesetzte Bibliothek auf einen fehlerkorrigierten Stand bringt oder es bereits in den vergangenen zwei Monaten getan hat.

(dmk)