أربع سنوات منذ العدد الأخير تم إصدار أداة أرشفة الملفات cpio 2.13، المستخدمة في حزم RPM وinitramfs. يُصلح الإصدار الجديد ثلاث ثغرات أمنية:
- — يسمح لك بالكتابة فوق الملفات الموجودة خارج الدليل الذي تم فتح الأرشيف فيه.
- — يتسبب في الكتابة إلى منطقة خارج المخزن المؤقت المخصص عند معالجة ملفات cpio بتنسيق خاص؛
- ) — بسبب عدم التحقق الكافي من رأس ملف TAR، عند إنشاء أرشيف بتنسيق TAR من قائمة ملفات، إذا كان أرشيف tar كبير جدًا مصمم خصيصًا موجودًا في هذه القائمة، فإنه يسمح بإنشاء أرشيف ناتج يتضمن ملفات تم فك ضغطها من أرشيف tar المضاف بحقوق وصول غير صحيحة.
tar cf suffix.tar المؤلفون
dd if=/dev/zero seek=16G bs=1 count=0 of=suffix.tar
لاحقة صدى.tar | cpio -H tar -o | tar tvf —-rw-r—r— 1000/1000 0 2019-08-30 16:40 suffix.tar
-rw-r—r— thomas/thomas 161 2019-08-30 16:40 المؤلفون
أيضا في المكتبة ، الذي يوفر أدوات للعمل مع تنسيقات الملفات المضغوطة والأرشيفية المختلفة، ()، مما يؤدي إلى الوصول إلى كتلة ذاكرة مُحررة مسبقًا (استخدام بعد التحرير) عند معالجة ملفات RAR بتنسيق خاص. قد تؤدي هذه المشكلة إلى إطلاق برمجيات خبيثة، ولكن احتمالية الاستغلال ضئيلة (مستوى الخطر مُحدد عند 4.4 من 10، أي أن المشكلة تُعتبر غير ضارة). مشكلة بدون دعاية غير ضرورية. في القضية .
المصدر: opennet.ru
