Летом текущего года специалисты Google, при помощи инструментов ClusterFuzz и OSS-Fuzz, обнаружили опасный баг в составе библиотеки Libarchive, которая отвечает за работу с архивами и сжатыми файлами.
ibarchive по умолчанию включена в состав Debian, Ubuntu, Gentoo, Arch Linux , FreeBSD и NetBSD, а уязвимость позволяет злоумышленнику выполнить произвольный код на уязвимой машине. Сообщается, что Windows и macOS, в состав которых тоже включена библиотека, не подвержены уязвимости.
Баг получил идентификатор CVE-2019-18408 и позволяет атакующему выполнить произвольный код в системе, используя для этого специально созданный архивный файл. Эксплуатация проблемы может осуществляться через вредоносный файл, полученный от злоумышленников, через локальные приложения, которые используют в работе различные компоненты Libarchive.
Информация о проблеме была обнародована лишь недавно, после релиза патчей для Linux и FreeBSD. Уязвимость уже исправлена в Libarchive версии 3.4.0. В составе большинства Linux-дистрибутивов проблема так же уже исправлена.
На GitHub опубликован список уязвимых операционных систем и приложений, в который входят настольные и серверные ОС, менеджеры пакетов, защитные утилиты, файловые браузеры и так далее, включая такие известные имена, как pkgutils, Pacman, CMake, Nautilus и Samba.