Om sommeren i år, Google-eksperter, bruker ClusterFuzz og OSS-Fuzz verktøy, oppdaget en farlig feil i Libarchive biblioteket. Dette sikkerhetsproblemet i Libarchive truer mange Linux-distribusjoner.
Than sårbarhet konsekvenser Libarchive, et bibliotek for å lese og lage komprimerte filer. Det er en kraftig alt-i-ett verktøy for å arbeide med arkivfiler som også bunter andre Linux / BSD verktøy som tjære, cpio, og katt, noe som gjør den ideell for et bredt spekter av operasjoner, og grunnen til det er så utbredt på tvers av operativsystemer.Libarchive er inkludert som standard med Debian, Ubuntu, Gentoo, Arch Linux, FreeBSD, og NetBSD, og sårbarheten tillater en angriper å utføre vilkårlig kode på en sårbar maskin.
Det er rapportert at Windows og MacOS, som omfatter biblioteket, er ikke sårbare.
“Heldigvis, Windows og MacOS, dagens to mest populære operativsystemene er ikke påvirket; Ellers, feilen ville ha forårsaket store hodepine for brukere over hele verden”, - rapportere ZDNet magasin journalister.
Feilen fikk identifikator CVE-2019-18408. Det gjør det mulig for en angriper å kjøre vilkårlig kode i systemet ved hjelp av en spesiallaget arkivfil. Problemet kan utnyttes gjennom en ondsinnet fil hentet fra nettkriminelle gjennom lokale programmer som bruker ulike komponenter av Libarchive i sitt arbeid.
Les også: Linux og FreeBSD TCP Stacks Avdekket DoS Sikkerhetsproblemer
Informasjon om problemet var utgitt bare nylig, etter utgivelsen av oppdateringer for Linux og FreeBSD. sårbarhet er allerede fikset I Libarchive versjon 3.4.0. De fleste Linux-distribusjoner har allerede løst problemet.
“Listen over sårbare operativsystemer og programvareverktøy som skipet Libarchive er uttømmende, åpne en stor angrepsflate for ondsinnede trusselaktører”, - skrive ZDNet journalister.
GitHub har publisert en liste av sårbare operativsystemer og applikasjoner, som omfatter stasjonære og serveroperativsystemer, pakke ledere, sikkerhet verktøy, fil nettlesere og så videre, inkludert kjente navn som pkgutils, Pac Man, CUtfør, Nautilus og Samba.
Sånn som det er nå, ingenting er kjent om noen offentlig skadelig kode for å teste dette sikkerhetsproblemet eller om forsøk på å utnytte det i naturen.
