Libarchive لائبریری، جو مختلف آرکائیو اور کمپریسڈ فائل فارمیٹس کے ساتھ کام کرنے کے لیے فنکشن فراہم کرتی ہے، نے ایسے خطرات کی نشاندہی کی ہے جو RAR فارمیٹ میں خصوصی طور پر ڈیزائن کردہ آرکائیوز پر کارروائی کرتے وقت بفر اووررنز کا باعث بنتی ہیں۔ execute_filter_audio (CVE-2024-48957) اور execute_filter_delta (CVE-2024-48958) فنکشنز میں کمزوریاں موجود ہیں اور یہ جانچ کی کمی کی وجہ سے ہوتی ہیں کہ "src" بلاک کرپٹ شدہ آرکائیو میں "dst" بلاک کو اوورلیپ کر سکتا ہے۔
کمزوریوں کو ورژن Libarchive 3.7.5 میں طے کیا گیا ہے، جو ایک درجن سے زائد غلطیوں کو بھی ٹھیک کرتا ہے جو cpio، lzop، rpm، zip، uu اور rar فارمیٹس میں فائلوں پر کارروائی کرتے وقت بفر اووررنز، پہلے سے آزاد میموری تک رسائی، یا انٹیجر اوور فلو کا باعث بنتی ہیں۔ . اصلاحات کو حفاظتی مسائل کے طور پر نشان زد کیا گیا ہے، لیکن بغیر CVE شناخت کنندگان تفویض کیے گئے ہیں۔ یہ ابھی تک واضح نہیں ہے کہ آیا خاص طور پر ڈیزائن کردہ فائلوں پر کارروائی کرتے وقت کوڈ پر عمل درآمد کو منظم کرنے کے لیے ان مسائل کا فائدہ اٹھایا جا سکتا ہے۔
Libarchive کو بہت سے مشہور پیکجوں میں بطور انحصار استعمال کیا جاتا ہے، مثال کے طور پر، smbclient، flatpak، appstream، libappimage، dpdk، cmake، rpm، nix، pacman، elfutils، unrar، claws-mail، ark، epiphany، evince، vagrant، vlc، mpv, gvfs, fwupd, systemd (اختیاری) اور فائل رولر (GNOME میں آرکائیو مینیجر)۔ آپ درج ذیل صفحات پر تقسیم میں اپ ڈیٹس کی دستیابی کی نگرانی کر سکتے ہیں: Debian، Ubuntu، RHEL، SUSE/openSUSE، Fedora، Arch، FreeBSD۔
ماخذ: opennet.ru
