В многоформатной библиотеке libarchive, используемой в Linux, Windows и macOS, обнаружилась уязвимость, позволяющая запускать произвольный код. Но только под Linux.
Затронуты крупнейшие дистрибутивы
Список уязвимостей, выявленных в компонентах Linux в 2019 г., пополнился багом в библиотеке сжатия данных. Обнаруженная экспертами Google уязвимость CVE-2019-18408 позволяет запускать произвольный код в целевой системе.
Многоформатная библиотека libarchive использует единый интерфейс для чтения и записи файлов в различных форматах сжатия. Этой библиотекой пользуются сразу несколько операционных систем, диспетчеров пакетов, архиваторов и файловых браузеров. CVE-2019-18408 затрагивает крупнейшие дистрибутивы Linux, в том числе, Debian, Ubuntu, ArchLinux, а также FreeBSD и NetBSD.
Библиотека используется и в Windows, и в macOS, но пользователи этих ОС — в безопасности. Сама по себе CVE-2019-18408 — типичный баг класса use-after-free (использование памяти после ее освобождения).
«В libarchive, мультиформатной библиотеке для архивирования и сжатия, было обнаружено использование указателей после освобождения памяти, что может приводить к отказу в обслуживании и выполнению произвольного кода в случае обработки специально сформированного архива», — говорится в описании проблемы на Debian.org.
Иными словами, для успешной эксплуатации уязвимости потребуется заставить конечного пользователя уязвимой системы открыть специально подготовленный архив. Для этого обычно и применяется фишинг.
Без индекса
Индекс угрозе пока не присвоен. Уязвимость исправлена в версии 3.4.0, так что администраторам затронутых систем настоятельно рекомендуется установить это обновление libarchive.
«В течение этого года были выявлены множественные уязвимости в разных компонентах Linux, которые позволяли, в том числе, запускать произвольный код и захватывать контроль над всей системой, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — И это в текущей парадигме разработки ПО нормально и даже естественно. Уязвимости были, есть и будут в любых программных пакетах и операционных системах. Вопрос только в том, насколько активно их ищут и как быстро устраняют. Большинство популярных дистрибутивов Linux подвергаются интенсивному и массовому аудиту, что делает их безопаснее. Тем не менее, ожидать какой-то сверхзащищенности Linux, если это не специализированный дистрибутив, не стоит».
Обновите свои системы штатными средствами!