Empat tahun sejak edisi terakhir Rilis cpio 2.13, utilitas pengarsipan berkas yang digunakan dalam paket RPM dan initramfs. Rilis baru ini memperbaiki tiga kerentanan:
- — memungkinkan Anda untuk menimpa berkas di luar direktori tempat arsip diperluas.
- — menyebabkan penulisan ke area di luar buffer yang dialokasikan saat memproses file cpio yang diformat khusus;
- ) — karena pemeriksaan header file TAR tidak memadai, saat membuat arsip dalam format TAR dari daftar file, jika arsip tar yang dirancang khusus dan sangat besar ada dalam daftar ini, arsip yang dihasilkan dapat dibuat, termasuk file yang dibongkar dari arsip tar yang ditambahkan dengan hak akses yang salah.
tar cf suffix.tar PENULIS
dd jika=/dev/nol cari=16G bs=1 hitung=0 dari=suffix.tar
akhiran echo.tar | cpio -H tar -o | tar tvf --rw-r—r— 1000/1000 0 30-08-2019 16:40 akhiran.tar
-rw-r—r— thomas/thomas 161 2019-08-30 16:40 PENULIS
Juga di perpustakaan , yang menyediakan alat untuk bekerja dengan berbagai format arsip dan file terkompresi, (), yang menyebabkan akses setelah bebas ke blok memori yang sebelumnya dibebaskan saat memproses berkas RAR yang dibuat khusus. Masalah ini berpotensi menyebabkan eksekusi kode berbahaya, tetapi eksploitasi dianggap kecil kemungkinannya (tingkat keparahannya adalah 4.4 dari 10, yang berarti masalah ini dianggap tidak berbahaya). Masalah ini tidak dipublikasikan secara luas. dalam masalah .
Sumber: opennet.ru
