7-Zip CopyCoder无限循环拒绝服务漏洞CVE-2024-11612

7-Zip是一款完全免费而且开源压缩软件，支持众多主流格式、支持超线程，拥有强大的AES-256加密算法为文件加密，增强文件安全性。

7-Zip 以其高压缩比而闻名，特别是使用其自有的7z格式，它可以提供比ZIP和其他传统压缩格式更高的压缩率，用户可以无限制使用它。

一、基本情况

7-Zip 不仅能创建和解压自己的7z格式文件，还能处理ZIP、RAR等其他流行压缩格式，使得7-Zip成为一个多功能的备受欢迎的压缩工具。

7-Zip以其高压缩比而闻名，特别是使用其自有的7z格式，它可以提供比ZIP和其他传统压缩格式更高的压缩率，无需担心版权或高昂费用。

栋科技漏洞库关注到7-Zip CopyCoder中曝出存在一个无限循环拒绝服务漏洞，该漏洞被标记CVE-2024-11612，该漏洞CVSS评分为6.5。

二、漏洞分析

CVE-2024-11612是7-Zip CopyCoder无限循环拒绝服务漏洞（Denial-of-Service Vulnerability），被攻击者利用可制造系统拒绝服务状态。

该漏洞源于-Zip CopyCoder在流处理过程中存在逻辑错误，可能导致无限循环，允许远程攻击者在受影响7-Zip安装上制造拒绝服务条件。

该漏洞由安全人员历经数日后发掘，通过收集其中包含所有7z支持的格式的存档文件语料库，并应用AFL++尝试模糊化运动来发掘漏洞。

最终，安全人员发现一个有趣的输入，一旦该输入被应用将保持7zip“解压”无限的时间，这源于函数不正确地检查用户输入导致无限循环。

该漏洞使远程攻击者能够在受影响7-Zip安装上创建拒绝服务条件，漏洞利用前提是需要与目标系统交互，但攻击方式会因具体实现而异。

三、漏洞影响

7-Zip < 24.08

四、修复建议

7-Zip >= 24.08

五、参考链接

https://sourceforge.net/p/sevenzip/discussion/45797/thread/f162d68dcd/