Eng Schwachstelle (CVE-2022-30333) gouf am Unrar Utility identifizéiert, wat et erlaabt, wann Dir e speziell konzipéierten Archiv auspackt, Dateien ausserhalb vum aktuellen Verzeechnes iwwerschreiwe sou wäit wéi d'Benotzerrechter et erlaben. De Problem gouf an de Verëffentlechunge vu RAR 6.12 an unrar 6.1.7 fixéiert. D'Vulnerabilitéit erschéngt a Versioune fir Linux, FreeBSD a macOS, awer beaflosst keng Versioune fir Android a Windows.
De Problem ass verursaacht duerch de Mangel u korrekt Iwwerpréiwung vun der "/.." Sequenz an de Dateiweeër, déi am Archiv spezifizéiert sinn, wat d'Auspackung erlaabt iwwer d'Grenze vum Basisverzeechnes ze goen. Zum Beispill, andeems Dir "../.ssh/authorized_keys" am Archiv setzt, kann en Ugräifer probéieren d'Datei vum Benotzer "~/.ssh/authorized_keys" beim Auspaken ze iwwerschreiwe.
Source: opennet.ru