|
|
版本 7.23
1. 修复了 RAR5 恢复卷数据重建代码中的堆溢出漏洞。它影响 WinRAR、RAR和 UnRAR。 UnRAR.dll 库不包括恢复卷处理,因此不受影响。
我们感谢 Securin Labs 的 Arjun Basnet 让我们了解此安全问题。
2. 当通过 WinRAR、RAR、UnRAR 或 UnRAR.dll 库提取特制的 RAR 压缩包时,即使没有 -ola 开关,也可以创建指向目标文件夹之外的符号链接。
即使在多个提取命令的情况下,进一步检查提取代码也可以防止将文件放入此类文件夹,从而排除基于 WinRAR、RAR 或 UnRAR 提取的路径遍历攻击的可能性。
它限制了其他工具使用此符号链接来存储文件的情况的潜在威胁。
我们感谢 scofaild23-bnomran 让我们了解此安全问题。
3. 7zxa.dll 7z 提取库已更新至版本 26.02,以包含库开发人员修复的错误和漏洞。
4. 即使在命令行、配置文件或 RARINISWITCHES 环境变量中指定了 -idc,开关 -iver 也会打印 RAR 版本。之前 -idc 阻止了 -iver 操作。
此外,-iver 输出中还添加了一个新行字符。
|
|