Новости Уязвимость в Libarchive угрожает многим дистрибутивам Linux

  • Автор темы GLOV
  • Дата начала

GLOV

Опытный
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Регистрация
20/5/18
Сообщения
1.158
Репутация
536
Реакции
1.634
RUB
2.000
Депозит
56 072 рублей
Сделок через гаранта
30
Арбитражи
1
iu


Летом текущего года специалисты Google, при помощи инструментов ClusterFuzz и OSS-Fuzz, обнаружили опасный баг в составе библиотеки Libarchive, которая отвечает за работу с архивами и сжатыми файлами.

ibarchive по умолчанию включена в состав Debian, Ubuntu, Gentoo, Arch Linux , FreeBSD и NetBSD, а уязвимость позволяет злоумышленнику выполнить произвольный код на уязвимой машине. Сообщается, что Windows и macOS, в состав которых тоже включена библиотека, не подвержены уязвимости.


Баг получил идентификатор CVE-2019-18408 и позволяет атакующему выполнить произвольный код в системе, используя для этого специально созданный архивный файл. Эксплуатация проблемы может осуществляться через вредоносный файл, полученный от злоумышленников, через локальные приложения, которые используют в работе различные компоненты Libarchive.

Информация о проблеме была обнародована лишь недавно, после релиза патчей для Linux и FreeBSD. Уязвимость уже исправлена в Libarchive версии 3.4.0. В составе большинства Linux-дистрибутивов проблема так же уже исправлена.

На GitHub опубликован уязвимых операционных систем и приложений, в который входят настольные и серверные ОС, менеджеры пакетов, защитные утилиты, файловые браузеры и так далее, включая такие известные имена, как pkgutils, Pacman, CMake, Nautilus и Samba.
 
Сверху Снизу