Unrar yardım proqramında xüsusi hazırlanmış arxivi açarkən istifadəçi hüquqlarının icazə verdiyi qədər cari kataloqdan kənar faylların üzərinə yazmağa imkan verən boşluq (CVE-2022-30333) müəyyən edilib. Problem RAR 6.12 və unrar 6.1.7 buraxılışlarında həll edildi. Boşluq Linux, FreeBSD və macOS versiyalarında görünür, lakin Android və Windows versiyalarına təsir etmir.
Problem arxivdə göstərilən fayl yollarında “/..” ardıcıllığının düzgün yoxlanılmaması ilə əlaqədardır ki, bu da qablaşdırmanın əsas kataloqun hüdudlarından kənara çıxmasına imkan verir. Məsələn, arxivə “../.ssh/authorized_keys” yerləşdirməklə, təcavüzkar paketdən çıxarma zamanı istifadəçinin “~/.ssh/authorized_keys” faylının üzərinə yazmağa cəhd edə bilər.
Mənbə: opennet.ru