🥇በሲፒዮ እና ሊብራቺቭ ውስጥ ያሉ ተጋላጭነቶች

ከመጨረሻው እትም አራት ዓመታት በኋላ ታትሟል የCPio 2.13 መልቀቅ፣ በRPM ፓኬጆች እና initramfs ውስጥ ጥቅም ላይ የሚውል የፋይል ማህደር መገልገያ። ይህ አዲስ ልቀት ሶስት ተጋላጭነቶችን ያስተካክላል፡

CVE-2015-1197 — ማህደሩ የተስፋፋበትን ማውጫ ውጭ ፋይሎችን እንዲተኩ ያስችልዎታል።
CVE-2016-2037 — በልዩ ሁኔታ የተቀረጹ የሲፒዮ ፋይሎችን ሲያስኬዱ ከተመደበው ቋት ውጭ ወዳለ ቦታ እንዲጻፍ ያደርጋል፤
CVE-2019-14866) — የTAR ፋይል ራስጌ በቂ ያልሆነ ፍተሻ ምክንያት፣ ከፋይሎች ዝርዝር ውስጥ በTAR ቅርጸት ማህደር ሲፈጥሩ፣ በዚህ ዝርዝር ውስጥ በልዩ ሁኔታ የተነደፈ፣ በጣም ትልቅ የታር ማህደር ካለ፣ የተገኘው ማህደር ሊፈጠር ይችላል፣ ይህም ከተጨመረው የታር ማህደር ያልተከፈቱ ፋይሎችን ጨምሮ፣ የተሳሳቱ የመዳረሻ መብቶችን ያካትታል።
tar cf suffix.tar AUTHORS
dd if=/dev/zero seek=16G bs=1 ቆጠራ=0 የ=suffix.tar
echo suffix.tar | cpio -H tar -o | ታር ቲቪ -
-rw-r—r— 1000/1000 0 2019-08-30 16:40 ቅጥያ.ታር
-rw-r—r— ቶማስ/ቶማስ 161 2019-08-30 16:40 ደራሲዎች

እንዲሁም በቤተ መጻሕፍት ውስጥ ሊብራቺቭከተለያዩ የማህደር እና የተጨመቁ የፋይል ቅርጸቶች ጋር ለመስራት መሳሪያዎችን የሚያቀርብ፣ ተለይቷል ተጋላጭነት (CVE-2019-18408)፣ ይህም በልዩ ሁኔታ የተነደፉ የRAR ፋይሎችን ሲያስኬዱ ቀደም ሲል ነፃ ወደሆነ የማህደረ ትውስታ ብሎክ ከመጠቀምዎ በኋላ ነፃ መዳረሻን ያስከትላል። ችግሩ ወደ ተንኮል አዘል የኮድ አፈፃፀም ሊያመራ ይችላል፣ ነገር ግን ብዝበዛ የማይታሰብ እንደሆነ ይቆጠራል (የክብደት ደረጃው ከ10 ውስጥ 4.4 ነው፣ ይህ ማለት ችግሩ ምንም ጉዳት እንደሌለው ይቆጠራል)። ችግሩ በስፋት አይታወቅም። ተወግዷል እትም ውስጥ 3.4.0.

ምንጭ: opennet.ru

በ cpio እና libarchive ውስጥ ያሉ ተጋላጭነቶች