URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 108342
[ Назад ]

Исходное сообщение
"Серия уязвимостей в Libarchive"
Отправлено opennews , 23-Июн-16 13:28

В библиотеке Libarchive (http://www.libarchive.org/), предоставляющей средства для работы с различными форматами архивов и сжатых файлов,  выявлена (http://blog.talosintel.com/2016/06/the-poisoned-archives.html) серия опасных уязвимостей,  позволяющих организовать выполнение кода при обработке специально оформленных данных в форматах 7-Zip, RAR и mtree. Из приложений, использующих (https://github.com/libarchive/libarchive/wiki/LibarchiveUsers) Libarchive, можно отметить BSD-версии утилит ar, tar, unzip и cpio, пакетные менеджеры Pacman (Arch Linux), XBPS (Void Linux), pkgutils (CRUX) и Paludis, систему сборки CMake, различные файловые менеджеры включая  Nautilus  и Ark, компоненты OS X и Chrome OS. Проблема устранена в выпуске 3.2.1 (https://github.com/libarchive/libarchive/releases). Для дистрибутивов обновления пока не выпущены (RHEL (https://rhn.redhat.com/errata/rhel-server-7-errata.html), Ubuntu (http://www.ubuntu.com/usn/), Debian (https://lists.debian.org/debian-security-announce/2016/threa...), CentOS (http://lists.centos.org/pipermail/centos-announce/2016-June/...), Fedora (https://admin.fedoraproject.org/updates/), openSUSE (http://lists.opensuse.org/opensuse-security-announce/), SLES (https://www.suse.com/support/update/), Gentoo (http://www.gentoo.org/security/en/index.xml)).
-  CVE-2016-4300 (https://security-tracker.debian.org/tracker/CVE-2016-4300) - целочисленное переполнение при обработке файлов 7-Zip;
-  CVE-2016-4301 (https://security-tracker.debian.org/tracker/CVE-2016-4301) - переполнение буфера при обработке данных mtree;
-  CVE-2016-4302 (https://security-tracker.debian.org/tracker/CVE-2016-4302) - переполнение кучи при обработке архивов RAR.
URL: http://blog.talosintel.com/2016/06/the-poisoned-archives.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=44652

Содержание

Серия уязвимостей в Libarchive,iZEN, 15:51 , 23-Июн-16
Серия уязвимостей в Libarchive,Sluggard, 00:15 , 24-Июн-16
- Серия уязвимостей в Libarchive,asavah, 01:17 , 24-Июн-16
  - Серия уязвимостей в Libarchive,lor_anon, 09:53 , 24-Июн-16
Серия уязвимостей в Libarchive,chinarulezzz, 08:20 , 24-Июн-16

Сообщения в этом обсуждении

"Серия уязвимостей в Libarchive"
Отправлено iZEN , 23-Июн-16 15:51

Во FreeBSD -STABLE libarchive вчера обновился.

"Серия уязвимостей в Libarchive"
Отправлено Sluggard , 24-Июн-16 00:15

> различные файловые менеджеры включая Nautilus и Ark
Давно Ark стайл файловым менеджером? Это утилита для управления архивами, фронтенд для консольных архиваторов.

"Серия уязвимостей в Libarchive"
Отправлено asavah , 24-Июн-16 01:17

В архивах - файлы.
Ark управляет архивами,Ark управляет и файлами содержащимеся в оных архивах.
Значит Ark - файловый манагер.
логика, йпрст
Но соглашусь, поняша, называть Ark файловым менеджером слегка занадто.

"Серия уязвимостей в Libarchive"
Отправлено lor_anon , 24-Июн-16 09:53

А браузер управляет файлами, получаемыми из интернета.
А человек управляет файлами на своём компьютере.
Веществааа...

"Серия уязвимостей в Libarchive"
Отправлено chinarulezzz , 24-Июн-16 08:20

> XBPS (Void Linux)
> Для дистрибутивов обновления пока не выпущены
$ xbps-query -p build-date libarchive
2016-06-21 05:38 UTC