- Регистрация
- 18.01.19
- Сообщения
- 1,603
- Депозит
- 60,333 ₽
- Сделки (гарант)
- 13
Летом текущего года специалисты Google, при помощи инструментов ClusterFuzz и OSS-Fuzz, обнаружили опасный баг в составе библиотеки Libarchive, которая отвечает за работу с архивами и сжатыми файлами.
ibarchive по умолчанию включена в состав Debian, Ubuntu, Gentoo, Arch Linux , FreeBSD и NetBSD, а уязвимость позволяет злоумышленнику выполнить произвольный код на уязвимой машине. Сообщается, что Windows и macOS, в состав которых тоже включена библиотека, не подвержены уязвимости.
Баг получил идентификатор CVE-2019-18408 и позволяет атакующему выполнить произвольный код в системе, используя для этого специально созданный архивный файл. Эксплуатация проблемы может осуществляться через вредоносный файл, полученный от злоумышленников, через локальные приложения, которые используют в работе различные компоненты Libarchive.
Информация о проблеме была обнародована лишь недавно, после релиза патчей для Linux и FreeBSD. Уязвимость уже исправлена в Libarchive версии 3.4.0. В составе большинства Linux-дистрибутивов проблема так же уже исправлена.
На GitHub опубликован список уязвимых операционных систем и приложений, в который входят настольные и серверные ОС, менеджеры пакетов, защитные утилиты, файловые браузеры и так далее, включая такие известные имена, как pkgutils, Pacman, CMake, Nautilus и Samba.
ibarchive по умолчанию включена в состав Debian, Ubuntu, Gentoo, Arch Linux , FreeBSD и NetBSD, а уязвимость позволяет злоумышленнику выполнить произвольный код на уязвимой машине. Сообщается, что Windows и macOS, в состав которых тоже включена библиотека, не подвержены уязвимости.
Баг получил идентификатор CVE-2019-18408 и позволяет атакующему выполнить произвольный код в системе, используя для этого специально созданный архивный файл. Эксплуатация проблемы может осуществляться через вредоносный файл, полученный от злоумышленников, через локальные приложения, которые используют в работе различные компоненты Libarchive.
Информация о проблеме была обнародована лишь недавно, после релиза патчей для Linux и FreeBSD. Уязвимость уже исправлена в Libarchive версии 3.4.0. В составе большинства Linux-дистрибутивов проблема так же уже исправлена.
На GitHub опубликован список уязвимых операционных систем и приложений, в который входят настольные и серверные ОС, менеджеры пакетов, защитные утилиты, файловые браузеры и так далее, включая такие известные имена, как pkgutils, Pacman, CMake, Nautilus и Samba.
