Баг в Libarchive угрожает операционным системам Linux, FreeBSD и NetBSD

В начале этого месяца, после выхода соответствующих патчей для нескольких дистрибутивов Linux и FreeBSD, стали известны подробности о серьёзной недоработке в Libarchive, позволяющей хакерам выполнять произвольный код на пользовательских машинах под управлением Debian, Ubuntu, Gentoo, Arch Linux, FreeBSD и NetBSD.

Баг в популярной библиотеке, используемой для сжатия и чтения заархивированных файлов, был открыт ещё в июне, но подготовка исправлений для затронутых операционных систем отняла немало времени. Недоработку, которая получила индекс CVE-2019-18408, первыми обнаружили эксперты безопасности Google с помощью утилит для автоматической проверки кода ClusterFuzz и OSS-Fuzz.

Сценарии злонамеренного использования CVE-2019-18408, предусматривают отправку особым образом изменённого архивного файла пользователям компьютеров или локальным приложениям, применяющим для распаковки различные компоненты Libarchive.

Список уязвимых систем и программных утилит, комплектуемых Libarchive, очень широк, что открывает огромные возможности для вредоносных действий. В него входят настольные и серверные ОС, инструменты для обработки мультимедиа, файловые менеджеры и защитные утилиты, такие как pkgutils, Pacman, CMake, Nautilus, KDE ark и Samba.

Если с операционными системами, выпустившими апдейты с исправленной версией Libarchive — 3.4.0 — ситуация более менее благополучна, то состояние дела с патчами для приложений пока неизвестно.

К счастью, Windows и macOS, две наиболее распространённые операционные системы, с которыми Libarchive поставляется соответственно, с 2017 и 2009 гг., не входят в число уязвимых систем. Также, на момент публикации ничего не было известно об эксплойтах CVE-2019-18408 в открытом доступе, равно как и о случаях использования данного бага в преступных целях.