-
互联网安全法,互联网净网行动
-
”净网2020”落实好维护网络安全责任
-
关于端午节放假通知-宇众网络
-
宇众网络春节放假通知
-
关于公司收款银行账户变更通知函-宇众网络
-
关于网上有人冒充我公司名义进行诈骗的公告。
-
关于端午节放假通知,节日放假,但是我们业务不“放假”-宇众网络
-
工信部进一步加强未备案网站管理工作的通知-宇众网络
-
关于东莞市宇众网络科技有限公司香港数据中心(香港机房)路由优化通知
-
宇众网络庆祝五·一劳动节快乐
-
东莞东城机房网络升级通知
-
临近过年,互联网IDC贵圈也有被骗的,请认准宇众网络公司官方联系方式
-
我司已获得ISP/ICP/IDC三证资格,更好的为客户服务
-
关于浙江金华高防机房网络线路切割通知
-
工信部近日下发关于进一步规范域名备案工作的通知
压缩软件存在漏洞!!!WinRAR < 5.70远程代码执行漏洞预警-高防服务器
WinRAR压缩软件 是 Windows 版本的 RAR 压缩文件管理器,一个允许你创建、管理和控制压缩文件的强大工具。存在一系列的 RAR 版本,应用于数个操作系统环境:Windows、Linux、FreeBSD 、DOS、OS/2、MacOS X。
最近某安全公司发现WinRAR存在一处安全漏洞,该漏洞利用仅通过提取存档,并使超过5亿用户面临风险。此漏洞已存在超过19年并迫使WinRAR完全放弃对易受攻击的文件格式的支持。
ACE 文件属于一种类似于RAR的文件归档格式。WinRAR支持针对ACE格式文件的“解压”,主要代码存在于unacev2.dll中,其中针对ACE文件头结构中“filename”字段处理出现问题,导致攻击者可以自由决定文件释放路径,如将可执行文件释放到Windows系统的Startup目录中,下次Windows启动运行将会执行该程序,会造成任意代码执行的严重安全问题。
1.1漏洞编号
CVE-2018-20250
CVE-2018-20251
CVE-2018-20252
CVE-2018-20253
1.2漏洞等级
高危
修复建议:
2.1受影响版本
WinRAR < 5.70 Beta 1
2.2漏洞检测
1. 检查WinRAR版本。软件版本非最新5.70的即存在漏洞。
2. 检查WinRAR安装目录是否存在unacev2.dll文件,有该文件即存在漏洞。
2.3解决方案
1. 升级到最新WinRAR 5.70 Beta版本。值得注意的是,目前WinRAR中国国内代理商官网提供的最新版本(5.61),同样存在漏洞,升级时需要从境外官网下载升级。
Windows 5.70 64位版本:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe
Windows 5.70 32位版本:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe
2. 尝试删除老版本WinRAR安装目录中unacev2.dll文件。