Schwachstelle in unrar ermöglicht das Überschreiben von Dateien beim Entpacken von Archiven

In der unrar-Anwendung wurde eine Schwachstelle (CVE-2022-30333) identifiziert, die es ermöglicht, beim Entpacken eines speziell gestalteten Archivs Dateien außerhalb des aktuellen Verzeichnisses zu überschreiben, abhängig von den Benutzerrechten. Das Problem wurde in den Versionen RAR 6.12 und unrar 6.1.7 behoben. Die Schwachstelle tritt in den Versionen für Linux, FreeBSD und macOS auf, betrifft jedoch nicht die Builds für Android und Windows.

Das Problem resultiert aus dem Fehlen einer ordnungsgemäßen Überprüfung der Sequenz „/..“ in den in dem Archiv angegebenen Dateipfaden, was es ermöglicht, beim Entpacken über das Basisverzeichnis hinauszukommen. Beispielsweise kann ein Angreifer, der „../.ssh/authorized_keys“ in das Archiv einfügt, versuchen, die Datei des Benutzers „~/.ssh/authorized_keys“ beim Entpacken zu überschreiben.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster