Versión 7.23
1. Se corrigió una vulnerabilidad de desbordamiento de búfer en el volumen de recuperación de RAR5.
La biblioteca UnRAR.dll no incluye el procesamiento del volumen de recuperación,
por lo que no se ve afectada.
Agradecemos a Arjun Basnet de Securin Labs por informarnos
sobre este problema de seguridad.
2. Se podía crear un enlace simbólico que apuntaba fuera de la carpeta de destino,
incluso sin el parámetro -ola, al extraer un archivo RAR especialmente diseñado,
mediante WinRAR, RAR, UnRAR o la biblioteca UnRAR.dll.
Una comprobación adicional en el código de extracción impide colocar archivos en dicha carpeta,
incluso en caso de múltiples comandos de extracción, lo que excluye la posibilidad de un ataque de recorrido de ruta para la extracción basada en WinRAR, RAR o UnRAR.
Esto limita la amenaza potencial al caso en que otra herramienta utilice este
enlace simbólico para almacenar archivos.
Agradecemos a scofaild23-bnomran por informarnos sobre este
problema de seguridad.
3. La biblioteca de extracción 7z (7zxa.dll) se actualiza a la versión 26.02 para incluir correcciones de errores y vulnerabilidades por parte del desarrollador.
4. El parámetro -iver imprime la versión RAR incluso si se especifica -idc
en la línea de comandos, el archivo de configuración o la variable de entorno RARINISWITCHES.
Anteriormente, -idc bloqueaba la acción de -iver.
Además, se añade un salto de línea a la salida de -iver.
¿Algo que Comentar?