scroll

Nouvelle vulnérabilité critique impactant le composant libarchive : ce qu’il faut savoir

Sommaire

Introduction

Le 14 mai 2025, le CERT-FR a publié un avis (CERTFR-2025-AVI-1042) mettant en lumière une vulnérabilité critique récemment découverte dans la bibliothèque logicielle libarchive. Cette bibliothèque est utilisée dans de nombreuses applications pour la lecture et l’écriture de fichiers d’archives aux formats comme .tar, .cpio, .zip, entre autres. L’importance de cette faille réside dans sa capacité à permettre l’exécution de code arbitraire à distance si elle est exploitée, compromettant ainsi potentiellement de nombreux systèmes.

Description de la vulnérabilité

La vulnérabilité repose sur un défaut de traitement dans la gestion de certains formats d’archive, notamment lors du traitement de fichiers spécialement conçus pour abuser de cette faiblesse. Identifiée sous le code CVE-2024-36238, cette faille exploite un dépassement de mémoire tampon (buffer overflow) pouvant aboutir à un comportement imprévisible du programme, et ultérieurement à l'exécution de code malveillant.

Les détails techniques précisés par le CERT-FR indiquent que cette vulnérabilité affecte directement les versions de libarchive antérieures à la version de correctif publiée mi-mai 2025. Elle a été assignée un score CVSS élevé, soulignant la criticité de sa prise en charge immédiate.

Produits concernés

libarchive étant une bibliothèque tierce utilisée par de nombreuses distributions Linux et applications multiplateformes, cette vulnérabilité a un impact global. Parmi les systèmes affectés, on retrouve notamment :

  • FreeBSD
  • Ubuntu
  • Debian
  • Red Hat Enterprise Linux
  • Android (dans certaines implémentations tierces)
  • Logiciels utilisant libarchive comme gestionnaire d’archives (y compris via des wrappers Python ou dans des pipelines CI/CD)

Impact et risques potentiels

L’impact principal de cette vulnérabilité est la possibilité pour un attaquant d’exécuter du code arbitraire sur le système cible simplement en incitant un utilisateur ou un système automatisé à ouvrir ou extraire une archive piégée. Ce vecteur d’attaque à distance est particulièrement préoccupant dans les environnements où l’ouverture automatique de fichiers d’archive est monnaie courante.

Les risques incluent :

  • L’exécution de commandes malveillantes conduisant à une compromission totale du système
  • La fuite de données sensibles
  • L'interruption de services métiers ou automatisés
  • L’injection de logiciels malveillants ou ransomwares via les chaînes CI/CD

Solutions et recommandations

Face à cette vulnérabilité, le CERT-FR recommande vivement aux organisations et utilisateurs de :

  • Mettre à jour immédiatement vers la dernière version de libarchive corrigée
  • Scanner les systèmes dépendants avec des outils de gestion de vulnérabilités afin d’identifier les composants affectés
  • Mettre en place des processus de vérification pour toute archive traitée automatiquement
  • Limiter les privilèges des processus exécutant des extractions de fichiers
  • Surveiller les tentatives d’exploitation dans les logs système et réseau

Des mises à jour correctives sont déjà publiées par certains éditeurs Linux, et les mainteneurs de libarchive ont communiqué une version corrigée contenant le patch de sécurité.

Conclusion

La découverte de cette vulnérabilité critique dans libarchive rappelle une fois encore l’importance de la veille et de la réactivité en cybersécurité. Les composants logiciels partagés utilisés massivement dans des chaînes variées constituent des vecteurs d’attaque à fort potentiel lorsqu’une faille est détectée. Il est dès lors impératif que les administrateurs systèmes, développeurs et équipes DevSecOps appliquent rapidement les correctifs pour mitiger tout risque d’exploitation. La sécurité des infrastructures passe notamment par des pratiques rigoureuses de gestion des dépendances logicielles.

Thématique : Cybersécurité / Vulnérabilités logicielles

Sujet principal : Vulnérabilité critique dans la bibliothèque libarchive

Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1042/