Проблема затрагивает множество ОС и программ, содержащих Libarchive.
Библиотека сжатия Libarchive, по умолчанию включенная в дистрибутивы Debian, Ubuntu, Gentoo, Arch Linux, FreeBSD и NetBSD, содержит уязвимость, с помощью которой злоумышленник может выполнить произвольный код на атакуемой системе. Проблема не затрагивает macOS и Windows, где Libarchive играет роль утилиты для декомпрессии данных.
Об уязвимости (CVE-2019-18408) стало известно на прошлой неделе после выхода обновлений для нескольких дистрибутивов Linux и FreeBSD, содержащих патчи для Libarchive. С помощью уязвимости злоумышленник может выполнить на атакуемой системе произвольный код с помощью вредоносного архивного файла.
Уязвимость была обнаружена специалистами Google и исправлена разработчиками в июне нынешнего года, однако, похоже, потребовалось несколько месяцев на то, чтобы патч стал доступен для всех затронутых дистрибутивов. Проблема исправлена в версии Libarchive 3.4.0.
Список уязвимых ОС и ПО, содержащих Libarchive, весьма впечатляет. В него входят настольные и серверные ОС, менеджеры пакетов, утилиты безопасности, инструменты для обработки мультимедиа и пр., в том числе pkgutils, Pacman, CMake, Nautilus, KDE’s ark и Samba. Хотя крупнейшие производители ОС выпустили исправления, о наличии исправлений для других программ ничего не известно. О наличии эксплоита или использовании уязвимости в реальных атаках также нет никаких данных.
