I sommeren i år, Google eksperter, ved hjælp af ClusterFuzz og OSS-Fuzz værktøjer, opdaget en farlig fejl i libarchive biblioteket. Denne sårbarhed i libarchive truer mange Linux-distributioner.
Than sårbarhed påvirkninger libarchive, et bibliotek til læsning og skabe komprimerede filer. Det er en kraftfuld alt-i-en værktøjskasse til at arbejde med arkivfiler der også bundter andre Linux / BSD forsyningsvirksomheder som tjære, cpio, og kat, hvilket gør den ideel til en bred vifte af operationer, og grunden til det er så udbredt på tværs af operativsystemer.Libarchive er inkluderet som standard med Debian, Ubuntu, Gentoo, Arch Linux, FreeBSD, og NetBSD, og gjorde det muligt for en angriber at udføre vilkårlig kode på et sårbart maskine.
Det forlyder, at Windows og MacOS, som omfatter biblioteket, er ikke sårbare.
”Heldigvis, Windows og MacOS, dagens to mest populære styresystemer er ikke påvirket; Ellers, fejlen ville have forårsaget store hovedpine for brugere over hele verden”, - rapport ZDNet magasin journalister.
Fejlen modtaget identifikator CVE-2019-18.408. Det gør det muligt for en angriber at udføre vilkårlig kode i systemet ved hjælp af en specielt oprettet arkivfil. Problemet kan udnyttes gennem en ondsindet fil fås fra cyberkriminelle gennem lokale programmer, der bruger forskellige komponenter i libarchive i deres arbejde.
Læs også: Linux og FreeBSD TCP Stakke Revealed DoS Sårbarheder
Oplysninger om problemet blev løsladt først for nylig, efter udgivelsen af patches til Linux og FreeBSD. Sårbarhed er allerede fastsat I libarchive udgave 3.4.0. De fleste Linux-distributioner har allerede løst problemet.
”Listen over udsatte operativsystemer og softwareprogrammer, at skibet libarchive er udtømmende, åbner et kæmpe angreb overflade til ondsindede trussel aktører”, - skrive ZDNet journalister.
GitHub har udgivet En liste af sårbare operativsystemer og applikationer, som omfatter arbejds- og server operativsystemer, pakke ledere, sikkerheds forsyningsselskaber, fil browsere og så videre, herunder velkendte navne såsom pkgutils, Pacman, CMake, Nautilus og Samba.
På dette tidspunkt, intet er kendt om enhver offentlig exploit-kode for at teste denne sårbarhed eller om forsøg på at udnytte det i naturen.
