S'agit-il d'un bug de chiffrement zip?

J'ai récemment découvert un exploit, où je (ou en supposant que quelqu'un) puisse rechiffrer mon fichier zip crypté sans avoir à connaître le mot de passe:

#zip --encrypt encrypted.zip -r dir1/

Ce qui précède invitera l'utilisateur à entrer un nouveau mot de passe. Y a-t-il quelque chose qui me manque ou s'agit-il d'un problème connu?

Les archives Zip peuvent avoir plusieurs mots de passe pour différents fichiers contenus. Les fichiers d'une archive sont essentiellement indépendants les uns des autres - ils sont compressés sans tenir compte des autres fichiers et ils sont chiffrés de la même manière. Votre encrypted.zipaura deux (ou plus) segments cryptés, un avec votre mot de passe d'origine et un avec le nouveau.

Essayer unziple fichier demanderait les deux mots de passe:

$ unzip ../test.zip
Archive:  ../test.zip
[../test.zip] file1 password:
  inflating: file1
  inflating: file2
[../test.zip] newfile password:
  inflating: newfile

Le répertoire, la liste des noms de fichiers, n'est pas chiffré. Ce n'est pas un bug, bien que cela puisse être déroutant et tous les outils zip ne gèrent pas bien la situation (en particulier les outils graphiques).