unrar يوٽيلٽي ۾ هڪ ڪمزوري (CVE-2022-30333) جي نشاندهي ڪئي وئي آهي، جيڪا اجازت ڏئي ٿي، جڏهن خاص طور تي ٺهيل آرڪائيو کي پيڪ ڪندي، موجوده ڊاريڪٽري کان ٻاهر فائلن کي اوور رائٽ ڪرڻ جي اجازت ڏئي ٿي، جيستائين صارف جا حق اجازت ڏين ٿا. مسئلو RAR 6.12 ۽ unrar 6.1.7 جي رليز ۾ طئي ڪيو ويو. لينڪس، فري بي ايس ڊي ۽ ميڪوس جي ورزن ۾ ڪمزوري ظاهر ٿئي ٿي، پر Android ۽ ونڊوز لاءِ ورزن تي اثر انداز نه ٿيندي آهي.
مسئلو آرڪائيو ۾ بيان ڪيل فائل جي رستن ۾ "/.." جي ترتيب جي مناسب چڪاس جي کوٽ جي ڪري پيدا ٿئي ٿي، جيڪا ان پيڪنگ کي بنيادي ڊاريڪٽري جي حدن کان ٻاهر وڃڻ جي اجازت ڏئي ٿي. مثال طور، "../.ssh/authorized_keys" کي آرڪائيو ۾ رکڻ سان، ھڪڙو حملو ڪندڙ صارف جي فائل کي ختم ڪرڻ جي ڪوشش ڪري سگھي ٿو "~/.ssh/authorized_keys" کي پيڪ ڪرڻ وقت.
جو ذريعو: opennet.ru