Выпуск NTFS-3G 2021.8.22 с устранением уязвимостей

Спустя более четырёх лет с момента прошлого выпуска опубликован релиз пакета NTFS-3G 2021.8.22, включающего свободный драйвер, работающий в пространстве пользователя с использованием механизма FUSE, и комплект утилит ntfsprogs для манипуляций с разделами NTFS. Код проекта распространяется под лицензией GPLv2.

Драйвер поддерживает чтение и запись данных в NTFS-разделах и может работать в широком спектре операционных систем, поддерживающих FUSE, в том числе в Linux, Android, macOS, FreeBSD, NetBSD, OpenBSD, Solaris, QNX и Haiku. Предоставляемая драйвером реализация файловой системы NTFS полностью совместима с операционными системами Windows XP, Windows Server 2003, Windows 2000, Windows Vista, Windows Server 2008, Windows 7, Windows 8 и Windows 10. Набор утилит ntfsprogs позволяет выполнять такие операции, как создание NTFS-разделов, проверка целостности, клонирование, изменение размера и восстановление удалённых файлов. Общие компоненты для работы c NTFS, используемые в драйвере и утилитах, вынесены в отдельную библиотеку.

Выпуск примечателен исправлением 21 уязвимости. Уязвимости вызваны переполнениями буфера при обработке различных метаданных и позволяют организовать выполнение кода при монтировании специально оформленного образа NTFS (в том числе, атака может быть совершена при подключении непроверенного внешнего накопителя). При наличии у атакующего локального доступа к системе, в которой исполняемый файл ntfs-3g установлен с флагом setuid root, уязвимости также можно использовать для повышения своих привилегий.

Из не связанных с безопасностью изменений отмечается объединений кодовых баз расширенной и стабильной редакций NTFS-3G, с переносом разработки проекта на GitHub. В новый выпуск также включены исправления накопившихся ошибок и устранены проблемы при компиляции со старыми выпусками libfuse. Отдельно разработчики провели анализ замечаний о низкой производительности NTFS-3G. Разбор показал, что проблемы с производительностью связаны, как правило, с поставкой в дистрибутивах устаревших версий проекта или использованием некорректных настроек по умолчанию (монтирование без опции «big_writes», без которой скорость передачи файлов снижается в 3-4 раза). В соответствии тестами, проведёнными командой разработчиков, производительность NTFS-3G отстаёт от ext4 лишь на 15-20%.

Источник: opennet.ru