GNOME Proiektuak garatutako libgsf liburutegian ahultasun bat (CVE-2024-42415) identifikatu da, eta berariaz formateatutako fitxategi bat prozesatzen denean kodea exekutatu daiteke. Zaurgarritasuna osoko gainezkatze batek eragiten du, eta horrek esleitutako bufferetik haratago datuak idaztea eragiten du sektoreko esleipen-taula prozesatzen denean CDF (Compound Document Format) formatuan fitxategien goiburuko parametroak analizatzen diren bitartean.
libgsf liburutegiak hainbat fitxategi formatu egituratu analizatzeko funtzioak eskaintzen ditu, artxiboak eta dokumentu formatuak barne. AbiWord, Gnumeric, GNOME Commander eta Nemo bezalako aplikazioez gain, GNOME proiektuak tracker-miners bilatzailean erabiltzen du liburutegia eta tracker-extract paketearen menpekotasun gisa erabiltzen da, fitxategi berriei buruzko metadatuak automatikoki biltzen dituena. .
Arriskua da libgsf erabiltzen duen GNOME zerbitzuak automatikoki indexatzen eta analizatzen dituela hasierako direktorioko fitxategi guztiak erabiltzaileen ekintzarik gabe. Horrela, eraso bat egiteko, erabiltzailearen direktorioan bereziki sortutako fitxategi bat agertzen dela ziurtatu behar da (adibidez, kasu batzuetan, fitxategi bat ~/Deskargak direktoriora sartzeko, nabigatzailean esteka batean klik egitea nahikoa da) eta ahultasuna bere indexazio automatikoan baliatuko da.
Ahultasuna libgsf liburutegiaren eguneratzean konpondu zen 1.14.53. Banaketan eguneratzeen erabilgarritasuna kontrolatu dezakezu orri hauetan: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. GNOMEren banaketa gehienetan, tracker-miners lehenespenez gaituta dago eta Nautilus fitxategi-kudeatzailearekin (GNOME Fitxategiak) mendekotasun gogor gisa kargatzen da. Uneko erabiltzailearentzat tracker-meatzariak desgaitzeko, komando hauek erabil ditzakezu: systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps .service tracker-writeback .service tracker berrezarri --gogorra
Iturria: opennet.ru
