`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Баг в Libarchive угрожает операционным системам Linux, FreeBSD и NetBSD

+22
голоса

Баг в Libarchive угрожает операционным системам Linux, FreeBSD и NetBSD

В начале этого месяца, после выхода соответствующих патчей для нескольких дистрибутивов Linux и FreeBSD, стали известны подробности о серьёзной недоработке в Libarchive, позволяющей хакерам выполнять произвольный код на пользовательских машинах под управлением Debian, Ubuntu, Gentoo, Arch Linux, FreeBSD и NetBSD.

Баг в популярной библиотеке, используемой для сжатия и чтения заархивированных файлов, был открыт ещё в июне, но подготовка исправлений для затронутых операционных систем отняла немало времени. Недоработку, которая получила индекс CVE-2019-18408, первыми обнаружили эксперты безопасности Google с помощью утилит для автоматической проверки кода ClusterFuzz и OSS-Fuzz.

Сценарии злонамеренного использования CVE-2019-18408, предусматривают отправку особым образом изменённого архивного файла пользователям компьютеров или локальным приложениям, применяющим для распаковки различные компоненты Libarchive.

Список уязвимых систем и программных утилит, комплектуемых Libarchive, очень широк, что открывает огромные возможности для вредоносных действий. В него входят настольные и серверные ОС, инструменты для обработки мультимедиа, файловые менеджеры и защитные утилиты, такие как pkgutils, Pacman, CMake, Nautilus, KDE ark и Samba.

Если с операционными системами, выпустившими апдейты с исправленной версией Libarchive — 3.4.0 — ситуация более менее благополучна, то состояние дела с патчами для приложений пока неизвестно.

К счастью, Windows и macOS, две наиболее распространённые операционные системы, с которыми Libarchive поставляется соответственно, с 2017 и 2009 гг., не входят в число уязвимых систем. Также, на момент публикации ничего не было известно об эксплойтах CVE-2019-18408 в открытом доступе, равно как и о случаях использования данного бага в преступных целях.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+22
голоса

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT