Eine Sicherheitslücke, die zunächst als lediglich niedriges Risiko eingestuft wurde, befindet sich In der Open-Source-Kompressionsbibliothek libarchive. Das US-amerikanische NIST kam allerdings zu der Einschätzung, dass die Lücke (CVE-2025-5914 / EUVD-2025-17572, CVSS 9.8, Risiko "kritisch") sogar eine kritische Bedrohung darstellt. Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde jetzt darauf aufmerksam.

Bereits am 10. Mai 2025 fand die ursprüngliche Meldung der Lücke an das libarchive-Projekt durch Tobias Stöckmann mitsamt eines Proof-of-Concept-Exploits statt. Die Entwickler haben am 20. Mai die Version 3.8.0 von libarchive herausgegeben und am 09. Juni erfolgte die öffentliche Schwachstellenmeldung ebenfalls auf Github. Die CVE-Nummer CVE-2025-5914 wurde dort zugewiesen, aber zunächst mit dem Schweregrad CVSS 3.9, Risiko "niedrig", wie Red Hat die Lücke einordnete.

Am 20. Juni kam das NIST mit einem aktualisierten Angriffsvektor zur Einschätzung, dass das Risiko auf einen CVSS-Wert von 9.8 kommt und als "kritisch" einzustufen ist. Bis FreeBSD zum Wochenende eine eigene Sicherheitsmitteilung veröffentlicht hat, bliebt die Änderung weitgehend.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE