అన్రార్ యుటిలిటీలో ఒక దుర్బలత్వం (CVE-2022-30333) గుర్తించబడింది, ఇది ప్రత్యేకంగా రూపొందించిన ఆర్కైవ్ను అన్ప్యాక్ చేస్తున్నప్పుడు, ప్రస్తుత డైరెక్టరీ వెలుపల ఫైల్లను ఓవర్రైట్ చేయడానికి, వినియోగదారు హక్కులు అనుమతించినంత వరకు అనుమతిస్తుంది. RAR 6.12 మరియు unrar 6.1.7 విడుదలలలో సమస్య పరిష్కరించబడింది. దుర్బలత్వం Linux, FreeBSD మరియు macOS సంస్కరణల్లో కనిపిస్తుంది, కానీ Android మరియు Windows సంస్కరణలను ప్రభావితం చేయదు.
ఆర్కైవ్లో పేర్కొన్న ఫైల్ పాత్లలో “/..” క్రమం యొక్క సరైన తనిఖీ లేకపోవడం వల్ల సమస్య ఏర్పడింది, ఇది అన్ప్యాకింగ్ బేస్ డైరెక్టరీ యొక్క సరిహద్దులను దాటి వెళ్ళడానికి అనుమతిస్తుంది. ఉదాహరణకు, ఆర్కైవ్లో “../.ssh/authorized_keys”ని ఉంచడం ద్వారా, దాడి చేసే వ్యక్తి అన్ప్యాక్ చేసే సమయంలో వినియోగదారు ఫైల్ “~/.ssh/authorized_keys”ని ఓవర్రైట్ చేయడానికి ప్రయత్నించవచ్చు.
మూలం: opennet.ru