Štyri roky od posledného čísla Vydanie cpio 2.13, nástroja na archiváciu súborov používaného v balíkoch RPM a initramfs. Toto nové vydanie opravuje tri zraniteľnosti:
- — umožňuje prepísať súbory mimo adresára, do ktorého je archív rozbalený.
- — spôsobuje zápis do oblasti mimo alokovanej vyrovnávacej pamäte pri spracovaní špeciálne formátovaných súborov cpio;
- ) — z dôvodu nedostatočnej kontroly hlavičky súboru TAR pri vytváraní archívu vo formáte TAR zo zoznamu súborov, ak sa v tomto zozname nachádza špeciálne navrhnutý, veľmi rozsiahly tar archív, môže byť výsledný archív vytvorený aj so súbormi rozbalenými z pridaného tar archívu s nesprávnymi prístupovými právami.
tar cf suffix.tar AUTORI
dd if=/dev/zero seek=16G bs=1 count=0 of=suffix.tar
echo prípona.tar | cpio -H tar -o | tar tvf --rw-r—r— 1000/1000 0 30.08.2019 16:40 prípona.tar
-rw-r—r— thomas/thomas 161 2019-08-30 16:40 AUTORI
Aj v knižnici , ktorý poskytuje nástroje na prácu s rôznymi archívnymi a komprimovanými formátmi súborov, (), čo spôsobuje prístup k predtým uvoľnenému bloku pamäte po uplynutí doby použitia pri spracovaní špeciálne vytvorených súborov RAR. Tento problém by mohol potenciálne viesť k spusteniu škodlivého kódu, ale zneužitie sa považuje za nepravdepodobné (úroveň závažnosti je 4.4 z 10, čo znamená, že problém sa považuje za neškodný). Problém nie je široko medializovaný. vo vydaní .
Zdroj: opennet.ru
