Список уязвимостей, выявленных в компонентах Linux в 2019 году, пополнился багом в библиотеке сжатия данных. Обнаруженная экспертами Google уязвимость CVE-2019-18408 позволяет запускать произвольный код в целевой системе.
Многоформатная библиотека libarchive использует единый интерфейс для чтения и записи файлов в различных форматах сжатия. Этой библиотекой пользуются сразу несколько операционных систем, диспетчеров пакетов, архиваторов и файловых браузеров. CVE-2019-18408 затрагивает крупнейшие дистрибутивы Linux, в том числе, Debian, Ubuntu, ArchLinux, а также FreeBSD и NetBSD.
Библиотека используется и в Windows, и в macOS, но пользователи этих ОС в безопасности. Сама по себе уязвимость CVE-2019-18408 – это типичный баг класса use-after-free (использование памяти после ее освобождения).
«В libarchive, мультиформатной библиотеке для архивирования и сжатия, было обнаружено использование указателей после освобождения памяти, что может приводить к отказу в обслуживании и выполнению произвольного кода в случае обработки специально сформированного архива», — говорится в описании проблемы на Debian.org.
Другими словами, для успешной эксплуатации уязвимости потребуется заставить конечного пользователя уязвимой системы открыть специально подготовленный архив. Для этого обычно и применяется фишинг.
Индекс угрозе пока не присвоен. Уязвимость исправлена в версии 3.4.0, администраторам затронутых систем настоятельно рекомендуется установить это обновление libarchive.
