В библиотеке Libarchive исправлена опасная уязвимость

Исследователи в сфере информационной безопасности Рок Стивенс (Rock Stevens) и Энрю Руеф (Andrew Ruef) обнаружили уязвимость в библиотеке Libarchive, позволяющую удаленному пользователю выполнить произвольный код и скомпрометировать целевую систему. Проблеме подвержены Libarchive 3.1.2 и более ранние версии. Она также может затрагивать ряд операционных систем, в состав которых входит Libarchive: FreeBSD, Arch Linux, Chrome OS, Debian и Gentoo. Уязвимости присвоен идентификатор CVE-2016-1541 .

Согласно предупреждению компьютерной группы реагирования на чрезвычайные ситуации университета Карнеги-Меллон, проблема существует из-за ошибки при обработке .zip файлов. Проэксплуатировав уязвимость, атакующий может при помощи специально сформированного архива вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе. Для успешной эксплуатации уязвимости требуется участие жертвы.

Исправленная версия Libarchive 3.2.0 уже доступна на сайте разработчиков. Всем пользователям рекомендуется как можно скорее загрузить и установить обновление.