Deux failles importantes de sécurité découvertes dans 7-Zip

Le 20 octobre 2025 à 09h02

Le 20 octobre 2025 à 09h02

Commentaires (45)

votre avatar
Pfff ... on va encore se faire supprimer l'outil de tous les serveurs par l'équipe sécu...
votre avatar
Je fais partie d'une équipe sécu et on a demandé à notre IT de passer de 7zip à NanaZip ou Peazip et ils l'ont fait sans broncher.
votre avatar
Et mettre à jour ça suffisait pas ?
votre avatar
Ça aurait été mieux, c'est des forks donc potentiellement ils contiennent aussi la faille...
Sur NanaZip en tout cas c'est flagrant il embarque la version vulnérable du fichier contenant la faille github.com GitHub :bravo:
votre avatar
Ils font le pari que les hackers ne font pas l'effort de chercher et déployer des 0-day dans les configs/applis 'non conventionnelles'.
votre avatar
Quels ont été les critères de sélection pour passer d'un outil à l'autre ?
votre avatar
L'avantage de Nanazip c'est que sous windows 11 on le trouve directement dans les menus contextuels alors qu'avec 7-zip il faut aller sous "Afficher d'autres options" pour le trouver. Et pareil au niveau du choix des extensions a affecter à Nanazip, donc Nanazip est mieux intégré à win 11 que 7-zip

Le nom NanaZip n'est pas appréciée par la gente féminine
votre avatar
parce qu'elles ne savent paps compter jusqu'à 7 (nana) en Japonais? :D
votre avatar
ils vont le reforker en shichiZip, comme ça, pas de shichi heu de chichi.
(je suis déjà dehors et hors de portée)
votre avatar
le problème, c'est que shichi (7) est proche phonétiquement de chichi (père, mais aussi nibards)...
la boucle est bouclée :D
votre avatar
La peur sans doute :D
votre avatar
Suffit de mettre à jour 7-Zip vers la version 25.01
votre avatar
je ne suis pas rassuré par ce commentaire
votre avatar
La dernière fois que j'ai touché à un Windows Server remonte à sa version 2008. L'environnement était très pauvre sur ce point de vue et ne proposait pas de fonctions de compression / décompression en built-in.

C'est toujours le cas ? Il me semblait avoir vu dans Windows 11 une possibilité de dézip native depuis, donc je supposais que les version Server en bénéficiait aussi.
votre avatar
Windows 11 peut lire/extraire le 7z en natif (= via l'explorateur de fichiers).
Mais il ne peut pas en créer.
votre avatar
Pour le format 7z je peux l'entendre vu que c'est un spécifique à l'outil. Mais pour les plus standard comme le .zip, je m'attends à ce que ce soit géré en natif par l'OS. Le format 7z est-il si répandu dans le monde Winwin ?

Perso je connais que le tar.gz, donc je demande :transpi:
votre avatar
Pour le format 7z je peux l'entendre vu que c'est un spécifique à l'outil. Mais pour les plus standard comme le .zip, je m'attends à ce que ce soit géré en natif par l'OS
On peut créer un zip (sans crypto) depuis l'explorateur de fichiers.
On peut lire/extraire un zip, 7z, tar, rar (sans crypto) depuis l'explorateur de fichiers.

Toute personne saine d'esprit utilise un logiciel tiers tellement c'est peu convivial et limité :)
votre avatar
Imagine que tu veuilles sauvegarder un site. Tu le copies en zip. Ben avec Windows et powershell, tu es limité en 32bits, donc pas de fichier de plus de 4Go.
Donc ... tu installes un outil pilotable en ligne de commande, comme 7z.
Par ailleurs, 7z est affreusement bon en dédup, donc tu peux pousser dans le même 7z tous les fichiers jour par jour, c'est comme de l'incrémental.
votre avatar
Idem en zip, la spec l'a prévu depuis le départ à l'époque pour sauvegarder en incremental via des disquettes.
votre avatar
Sauf que je ne sais si c'est l'implémentation qui est nulle, mais 7z est extrêmement efficace, bien plus que zip.
votre avatar
L'implémentation de référence pkzip fournie par pkware (actuellement dispo pour windows et qq mainframes et historiquement qq unix mais jamais pour linux étonnament) est excellente, on peut même valider par certificats des fichiers ou l'archive entière. De plus la spec est ouverte à contribution et pkware prend toujours en compte les demandes.
L'implémentation connue sous Linux, infozip, n'est plus maintenue depuis 15 ans mais les distribs continuent de patcher les CVE tant le programme est indispensable.
On est au stade où l'implémentation 7zip (pour zip donc, je ne parle pas du format 7z) est meilleure que celle d'infozip, ce qui est quand même sacrément paradoxal.

Le format zip est vraiment excellent et excellemment bien pensé pour l'époque et à ce titre le format 7z n'a pas apporté grand chose par contre l'implémentation 7zip si (entre autres : support du multithread, ce qui est INDISPENSABLE aujourd'hui). De plus la spec est très bien rédigée, ça fait des années que je veux y redévelopper une implémentation from scratch pour linux mais c'est un taf à plein temps et personne ne me paierai pour les semaines à y passer malheureusement.
votre avatar
Sinon avec la commande powershell compress-archive , mais la c'est carrément "power user".
votre avatar
Non, justement c'est limité en taille.
votre avatar
Oui 4 go coté api powershell
votre avatar
Présent également en natif sur w10 😉.
Mais ça reste très basique. Typiquement, dès qu'il y a un mot de passe, il ne sait pas le gérer et dit que l'archive est corrompue à l'ouverture (impossibilité de renseigner le mdp nul part pour l'ouvrir).
Ça permet de dépanner pour la grande majorité des gens, ça ouvre le zip dans l'explorateur comme si c'était un dossier normal. Je pense que pour la plupart des gens, ils ne s'aperçoivent même pas que c'est un zip qu'ils sont en train d'explorer (et c'est voulu).
votre avatar
Oui j'ai déjà vu le comportement où le .zip est ouvert par l'explorateur Winwin.

La question était surtout pour le monde Windows Server vu que c'est le point de base de la discussion. Meci pour les limitations pointées, cela dit :yes:
votre avatar
Perso, ce que je trouve dingue de nos jours, c'est qu'il y ait encore une version serveur de Windows: je veux dire hormis des machins comme AD et Exchange (ou même, soyons fous, Sharepoint), quel est l'intérêt d'avoir du Windows Server en 2025? Quels sont les usages où cette technologie présente encore un avantage par rapport aux autres OS serveur du marché?
votre avatar
Disons qu'il y a un vivier conséquent de personnes élevées au clicodrome redmondien depuis leur plus jeune âge... certains se satisfont aussi d'une boite noire opérée à coups de recettes de cuisine niveau sorcellerie (finissant souvent selon l'adage "un windows ne se dépanne pas, il se réinstalle!"), quand une boite blanche favorise plutôt une réflexion structurée (voir permet de pousser un patch).
votre avatar
"Disons qu'il y a un vivier conséquent de personnes élevées au clicodrome redmondien depuis leur plus jeune âge"

Les linux livrés par les prestas sont ... comment dire ... des abominations?
Tout fonctionne en root - selinux non activé - debian mais nourri au backport ou source de dépôt externe - apache pas à jour - java pas à jour - kernel pas à jour.
Et si on y touche: plus de support.
On doit encore avoir du Debian 9, le presta essaie de le cacher... Mais on le sait.
votre avatar
Pourtant, les dépôts Debian sont assez riches pour ne pas avoir besoin de bricoler comme sur les RH (dépôts vides en comparaison, d'où du bricolage à ajouter des dépôts Fedora par exemple... quand ce n'est pas, pour éviter cela, faire des build à partir des sources de ce qui manque aux utilisateurs et ne sera jamais suivi niveau vulnérabilités/bugs), au hasard!

Au départ, une des motivations d'Ubuntu était d'ailleurs de concurrencer RH en entreprise avec une base Debian: Mixer l'offre de support de RH qui fait son succès en entreprise avec la richesse de Debian qui facilite bien la vie.

Maintenant, tout OS peut s'installer et/ou s'utiliser n'importe comment: Je dirais qu'un Java pas à jour, c'est la norme vu que tout ce qui est encore codé dans ce langage (désormais en lent déclin) vient quasi systématiquement avec sa JVM et dépendances telles que testées/validées par celui qui l'édite, vu les nb pb passés. Impossible d'imposer une version système maintenue sans casse probable. Python prends d'ailleurs à son échelle le même chemin, à coups de venv chez les utilisateurs pour ne pas casser la version système. Fini le temps ou juste tirer les dépendances des dépôts suffisait à faire tourner tout ce qu'on trouve ainsi codé sans risquer de casse.
De toutes manières, windows n'offre pas la cohérence système globale assurée par les dépôts, les exécutables même natifs qui viennent avec leurs librairies quasi doublon de celles systèmes (ou buildées statique) dans la version testée c'était la norme bien avant les machines à bytecode... et c'est inévitable, en fait, dans un système de sources clos: Impossible d'avoir des mainteneurs pouvant builder (au besoin en les faisant évoluer à la marge) en accord avec les librairies/versions système de chaque distro. Enfin pour celles qui refusent les snap&co ailleurs que, éventuellement, côté utilisateur qui aurait un réel besoin de ces dégueulasseries coûteuses en stockage et mémoire (quasi doublons que la gestion de mémoire virtuelle ne pourra optimiser).

Bref, voir se plaindre de tels bricolages qui sont largement évitables côté distros Linux alors qu'ils ont toujours été la norme côté Windows, ça fait un peut bizarre je dois dire!
votre avatar
"Je dirais qu'un Java pas à jour, c'est la norme vu que tout ce qui est encore codé dans ce langage"

Java pas à jour (8 & 11)-> taxe Oracle.

"se plaindre de tels bricolages qui sont largement évitables côté distros Linux alors qu'ils ont toujours été la norme côté Windows, ça fait un peut bizarre je dois dire!"

Je comprends le point. La différence je trouve, c'est que sous Windows on n'essaie pas de me le cacher.
En gros, Linux (et docker) c'est la réponse des éditeurs, sauf que au final:
* ils ne maîtrisent pas (petits éditeurs et intermédiaires)
* ils ne suivent pas
* ça a un coût, mais ils ne le savent/comprennent pas

"De toutes manières, windows n'offre pas la cohérence système globale assurée par les dépôts,"

Justement: dans le cadre pro, souvent on n'en veut pas! Mieux vaut un flatpak ou autre pour les applis et un OS mis à jour à part pour suivre rapidement les màj de sécu/fonctionnelles de l'OS sans forcer le même rythme pour toutes les applis
(désolé, mauvaise expériences Linux plusieurs fois soit avec arrêt de la maintenance de la distro, la disparition d'un pilote clé, la non mise à jour gcc/libc dans la distro empêchant d'utiliser des PHP plus récents, des màj de l'OS qui cassent l'appli ... ok, ça date tout ceux-là, mais ce que je vois ne me donne pas envie de m'y replonger, ou alors il faut TOUT migrer et on a 10 ans de super galère et pas du tout les moyens financiers ou humains.
Et sincèrement, Linux, BSD, Windows ou VMS, je m'en balance. J'ai utilisé les 4, le plus important c'est la doc et l'industrialisation.

Et niveau doc, pour être clair, la hiérarchie c'est: VMS > Windows > BSD >>> Linux (distro) - et de très loin. Open source ne veut pas dire bien documenté, et surtout pas documentation à jour (ok, debian est pas mal du tout - tant qu'on ne sort pas des clous).

Disons que sous Windows, je sais où je vais
votre avatar
C'est un point de vue, mais franchement avec Debian j'ai vu peu de problèmes justement car on n'a pas à sortir des clous et que dans ce cadre, toutes les MAJ et même les upgrades d'une version à la suivante se passent bien, du raspberry au Proliant.
Et si je conçoit le besoin d'avoir certaines applis évoluant à un rythme différent de l'OS (voir n'évoluant plus du tout et dont on a perdu les sources depuis longtemps, mais dont le besoin perdure) imposant une forme de conteneurisation, sur un poste de travail ça doit largement se compter sur les doigts d'une main. Puis cela pourrait être fait via l'ajout d'un dépôt tiers d'une application bien maintenue, surtout si on la paie.
Niveau dimensionnement des machines, ce qui en parc fait des pépettes, cette cohérence globale est quand même la raison majeure pour laquelle une distro Linux restée dans ce classicisme (éviter Ubuntu&Co) tourne toujours sans problème sur les ressources d'une machine de plus de 10 ans, livrée alors en windows 7 et sur laquelle un windows 10 était déjà quasiment inutilisable... un 11 ne s'y installant même pas.
Niveau pilotes, le constat est encore plus favorable je dirais: Sous Linux le cas général c'est qu'on branche et ça marche, tout simplement: Le module noyau sera en général là et alors chargé sans la moindre action utilisateur requise. Même ce qui a longtemps été à la traîne vs Windows (imprimantes/scanners) c'est OK avec pour les imprimantes le bonus de pilotes libres qui ne te bloquent pas l'impression quand l'imprimante dit que le toner est vide (permettant de se rendre compte qu'on imprime encore facilement le tiers de la capacité annoncée en nb de page avant que la qualité des impressions ne se dégrade vraiment), chose que font classiquement les pilotes fournis par les fabricants histoire d'alimenter leur business.
Note aussi que 99% des pilotes sont gérés upstream, ce qui veut dire que les driver-model peuvent évoluer niveau kernel (car on peut faire évoluer les drivers en face, ce qu'on fabricant ne fait pas forcément suite fin de vie produit... ou clef sous la porte) radicalement au besoin (niveau réseau ou USB, en 25 ans, y'a eu bien du changement lié aux évolutions du matériel) tandis que windows est obligé de les multiplier ou gérer des rustines plus ou moins élégantes pour ne pas casser la compatibilité de ce qui n'évoluera plus en source clos mais reste utilisé: Alors ok, on a de la doc, mais la dette technique inévitable en est un sacré générateur d'une part et en prime intellectuellement travailler à ces niveaux devient une plaie. D'ailleurs, les échecs de Microsoft en embarqué/téléphonie résultent aussi du fait du manque de développeurs ayant bien voulu s'y coller, même en se bouchant le nez avec la consolation d'un meilleur salaire temporaire (vu l'issue).
votre avatar
Je comprends ton point de vue et je suis d'accord sur l'impression. Autant c'était pratique il y a quelques années, autant avec Windows 10 l'impression sous Windows est partie en sucette, avec un gros mélange entre les pilotes grand public et pro (en gros, si on se borne aux pilotes pro, il n'y a pas grand changement depuis 20 ans contrairement à ce que tu dis, et un pilote PCL de 500ko fait le taf sans problème).
Là où je ne te rejoins pas, c'est que pas mal d'ordi ont encore des spécificités. Là encore (à la maison), j'ai un bug depuis le passage à debian 13 sur un des ordis: plus de tactile. Donc backport avec un kernel supérieur ou rétropédalage en debian 12.
Le problème de Linux (même si c'est son fort pour le futur), c'est justement ce côté ultra monolithique avec le noyau et les pilotes totalement liés (que Windows va devoir finir par adopter pour être "sécurisé" niveau DRM). Quand un noyau sort, il faut que tous les pilotes suivent, mais en vrai sur certaines fonctionnalités peu ou plus utilisées, il n'y a plus tant de vérification que cela. C'est comme cela que j'ai perdu du fiber channel (imagine le désastre) sur des baies IBM... En gros: mise à jour de Linux = perte de tous les serveurs web. Donc réaffectation et réinstallation de Windows sur ces blades, Windows continuant le support du fiber channel...
Et si j'ai quitté Linux, c'est à cause de ce genre de surprise - mon PC principal n'était plus compatible (plantage réguliers et aléatoire). J'ai aussi récemment (il y a 3 ans) eu énormément de mal avec des la virtu + AMD + SSD NVMe (disparition des SSD, y compris celui de boot en plein vol). J'ai 4 postes en Linux à la maison, j'aime bien, mais je reconnais que je me retrouve avec des problèmes de veille/réveil, de Wifi, des freeze ... et cela juste en surfant et en compilant des programmes.

Je pense que les deux existent, et si on maîtrise son sujet, c'est bien. Mais les deux ont leurs avantages et leurs inconvénients.
Je ne suis pas "pro microsoft" - je pense qu'ils font de très bons produits (et pas mal de bourdes dernièrement), mais les migrations Ms -> Linux ont un coût faramineux, et l'exploitation sous Linux coûte cher aussi.
Et un des aspects de Ms que j'aime bien, c'est le niveau de diagnostic qu'on peut avoir: de base dans une distro Linux, je ne trouve pas ce niveau (genre le moniteur de fiabilité + perfmon + les audits) - Ms le fait depuis 20-30 ans (NT4...) en centralisé, et Linux réinvente la roue tous les 7 ans environ - pour ne jamais atteindre à mon sens Ms sur ce point.
votre avatar
Pour moi ce n'est pas le sujet. Windows Server existe, il est déployé en entreprise, deal with it.
votre avatar
Non, mais c'est juste de la curiosité, je sais bien que c'est présent, je le vois tous les jours, mais là Windows Server commence à me donner la même sensation que Netware a après 2005... du coup je m'interroge sur les raisons d'en avoir encore (hormis les classiques énoncés plus haut)
votre avatar
Comme pour Windows Pro, il y a tout un tas de logiciels qui ne tournent que sur Windows Server.
L'autre problème est que les installateurs ne savent les installer que sur les versions "avec expérience utilisateur" et seraient déjà bien perdus sur une version Core de Windows Server.
De là à leur faire comprendre que leurs logiciels .NET peuvent s'installer sur du Linux sans interface graphique...
votre avatar
hormis des machins comme AD et Exchange (ou même, soyons fous, Sharepoint), quel est l'intérêt d'avoir du Windows Server en 2025?
Quand ton parc de desktop/laptop est sous windows, c'est plus 'simple' d'avoir windows server pour la gestion des comptes, des partages de fichiers, des queues d'impressions, de la distribution des mises à jour, de la supervision des problèmes, etc...

Ce n'est pas que c'est impossible sous Linux, c'est juste que ne ca vaut généralement pas le coup (temps, argent, charge mentale) de gérer un parc de PC windows avec un serveur Linux.

Vaut mieux ajouter des serveurs Linux en plus de Windows Server pour des trucs dédiés (SMB, LDAP, Intranet) que de vouloir tout gérer depuis Linux.
votre avatar
Pour les serveurs de fichiers, je vois surtout des infras utilisant des solutions nas "entreprise" plutôt que du filesharing à la petite semaine utilisant Windows Server. Pour l'hébergement applicatif, il faut bien constater que java domine tout pour le meilleur et pour le pire, bref j'ai vraiment l'impression que Windows Server est occupé à devenir un produit de niche.

De même, si c'est pour faire du LDAP plutôt que de l'AD, je ne vois pas non-plus grand intérêt à faire du Windows Server à part à s'encombrer avec plein de microsofteries sur le chemin.
votre avatar
"Pour les serveurs de fichiers, je vois surtout des infras utilisant des solutions nas "entreprise" plutôt que du filesharing à la petite semaine utilisant Windows Server."

" filesharing à la petite semaine" -> La moindr elicence Windows Server PME permet d'activer le storage. Donc on se retrouve pour moins de 1000€ avec un OS:
* qu'on a le droit de virtualiser & mettre en cluster avec cette unique licence
* 25 CAL
* un OS qui gère très facilement (et pas avec un fatras de trucs) et en quelques commandes powershell: la dédup, le cache sur les postes clients ou entre serveurs distant, le clustering, le raid soft ou hard, le tiering et le iSCSI -> Bref, tu te retrouves en quelques lignes avec un équivalent de SAN pour le prix d'un NAS.

Alors bien sûr quelqu'un qui connait son Debian pourra faire pareil, mais il faudra faire avec les migrations d'outil et de structure et il faut connaître son linux sur le bout des doigts - ce qu'aucun presta que j'ai vu en Linux ne sait faire ailleurs que sur SES bécanes.
votre avatar
Serveurs avec applications financières/RH, serveurs avec applicatifs (et ils sont nombreux), serveurs MECM ...
votre avatar
"quel est l'intérêt d'avoir du Windows Server en 2025?"

Non intuitivement: le prix en licence Datacenter. Et le prix de migration sur un autre OS (de toutes façons, il n'y a que Linux).
Les moins cher étant Oracle pour Linux, mais on n'a aucune confiance. Et ils sont plus chers qu'un renouvellement en SA de Windows.
Et le pilotage des Windows est quand même bien facile.
votre avatar
Le pilotage Windows facile? Sérieusement, pour avoir fait l'exercice, je préfère gérer 1000 serveurs GNU/Linux avec des outils comme Ansible ou Salt que de gérer 200 serveurs windows avec powershell, GPO, installeurs à tous va, et tout le fatras.
votre avatar
"Le pilotage Windows facile? Sérieusement, pour avoir fait l'exercice, je préfère gérer 1000 serveurs GNU/Linux avec des outils comme Ansible ou Salt "

C'est toujours le même problème: Windows c'est intégré ou sinon c'est avec la licence, Salt/Ansible, le coût supplémentaire pour une infra petite/moyenne...

C'est sûr que 1000 serveurs, il faut un outil pour les gérer.
200 Windows, ça va (et encore, c'était en 2015, maintenant c'est encore mieux je trouve)

Après, question d'habitude. Mais quand on dit "Linux en entreprise", c'est "Linux + support + outils annexes" et très très vite, on est plus cher que Windows.

C'est pire si on fait du docker, les outils genre sécu/antivirus sont carrément HDP. Et souvent pas de prix public: appelez, on fera le prix à votre tête.
votre avatar
L'article de la Zero Day Initiative, comme l'article, indique que la version corrigée est la 25.00.

Or, la preuve d'exploitation sur GitHub mentionnerait que la version 25.00 serait aussi impactée ?
votre avatar
Sur le blog du mec, il regarde la différence entre la 24.09 et la 25.00.

Et finit par :
Fixed version is v25.00
Introduced in v21.02
Je pense que l'indication sur github signifie la même chose (fixed dans la 25.00), mais est mal rédigée…
Vulnerable versions: 21.02 - 25.00

Deux failles importantes de sécurité découvertes dans 7-Zip

Fermer