Grave vulnerabilità in Libarchive: coinvolti Linux, FreeBSD e NetBSD

by Matteo Gatti on

Google ha scoperto un bug che coinvolge Libarchive, una libreria di de/compressione inclusa di default in tantissime distro GNU/Linux, come Debian, Ubuntu, Gentoo, Arch Linux ma anche in FreeBSD e NetBSD. Libarchive contiene una vulnerabilità che consente l’esecuzione di codice arbitrario.

Tale libreria è presente anche su macOS e Windows ma i sistemi operativi di Apple e Microsoft non sono affetti dal bug.

Linux, e CVE-2019-18408 per Libarchive

Libarchive è una libreria per la lettura e la creazione di file compressi. È un potente toolkit all-in-one per lavorare con file compressi che raggruppa anche altre utility come tar, cpio e cat rendendolo ideale per un’ampia varietà di operazioni: per questo motivo è così ampiamente adottato su Linux.

La vulnerabilità è stata scoperta dai ricercatori a giugno, utilizzando le piattaforme Fuzzing e OSS-Fuzz ed è stata identificata con CVE-2019-18408. Il bug consentiva a un utente malintenzionato di eseguire codice arbitrario su un sistema vulnerabile tramite un file compresso appositamente predisposto.

La lista di utilities, browsers, processing tools, etc che usano tale libreria è molto lunga: pkgutils, Pacman, CMake, Nautilus, Samba, etc. Ad oggi non si è a conoscenza di alcun exploit che sfrutti questa vulnerabilità o di tentativi di sfruttamento in the wild.

La vulnerabilità comunque è già stata risolta: è però necessario aggiornare la propria distribuzione Linux alla versione 3.4.0 di Libarchive.

Grave vulnerabilità in Libarchive: coinvolti Linux, FreeBSD e NetBSDSeguiteci sul nostro canale Telegram e sulla nostra pagina Facebook. Inoltre è possibile seguire il nostro canale ufficiale Telegram dedicato ad Offerte e Promo! Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.

L'articolo Grave vulnerabilità in Libarchive: coinvolti Linux, FreeBSD e NetBSD sembra essere il primo su Lffl.org.

Leggi il contenuto originale su Lffl.org

Written by: Matteo Gatti