知名的 7-Zip 壓縮工具最近被發現兩個 CVSS SCORE 高達 7 分的 CVE-2025-11001 與 CVE-2025-11002 漏洞,建議大家要盡速更新!而我在更新 Ubuntu 的時候,發現更新有點小麻煩,所以寫了點筆記分享在這篇文章中。
這兩個漏洞才剛被發現,連 CVE 資料庫都還沒有更新,只有先預留編號而已: CVE-2025-11001 與 CVE-2025-11002
CVE-2025-11001
-
CVE ID: CVE-2025-11001
-
CVSS 分數: 7.0, AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
-
受影響的廠商: 7-Zip
-
受影響的產品: 7-Zip
-
漏洞細節
此漏洞允許遠端攻擊者在受影響的 7-Zip 安裝上執行任意程式碼。需要與此產品互動才能利用此漏洞,但攻擊途徑可能會依實作而異。
此特定缺陷存在於 ZIP 檔案中符號連結的處理。經過設計的 ZIP 檔案資料可能導致程序跳轉到非預期的目錄。攻擊者可以利用此漏洞在服務帳戶的上下文中執行程式碼。
-
修復版本
已於 7-Zip 25.00 修復
CVE-2025-11002
-
CVE ID: CVE-2025-11002
-
CVSS 分數: 7.0, AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
-
受影響的廠商: 7-Zip
-
受影響的產品: 7-Zip
-
漏洞細節
此漏洞允許遠端攻擊者在受影響的 7-Zip 安裝上執行任意程式碼。需要與此產品互動才能利用此漏洞,但攻擊向量可能會依據實作方式而有所不同。
此特定缺陷存在於 ZIP 檔案中符號連結的處理。經過設計的 ZIP 檔案資料可能導致程序穿越到非預期的目錄。攻擊者可以利用此漏洞在服務帳戶的環境下執行程式碼。
-
修復版本
已於 7-Zip 25.00 修復
Ubuntu 更新方法
以下命令我在 Ubuntu 22.04.5 LTS 與 Ubuntu 24.04.3 LTS 都測試過沒問題:
-
先用 lsb_release -a 檢查你現在的 OS 版本:
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 22.04.5 LTS
Release: 22.04
Codename: jammy
-
更新你的系統套件清單
sudo apt update
-
移除 p7zip-full 與 7zip 套件
sudo apt remove -y p7zip-full 7zip
-
到 7-Zip 官網的 Download 下載 64-bit Linux x86-64 的壓縮檔
以下命令請記得將 7z2501-linux-x64.tar.xz 檔名更換為目前最新版的下載連結:
curl -sL https://7-zip.org/a/7z2501-linux-x64.tar.xz | tar -xOJf - 7zzs | sudo tee /usr/local/bin/7z > /dev/null && sudo chmod +x /usr/local/bin/7z
相關連結