The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Серия уязвимостей в Libarchive"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Серия уязвимостей в Libarchive"  +/
Сообщение от opennews (ok) on 23-Июн-16, 13:28 
В библиотеке Libarchive (http://www.libarchive.org/), предоставляющей средства для работы с различными форматами архивов и сжатых файлов,  выявлена (http://blog.talosintel.com/2016/06/the-poisoned-archives.html) серия опасных уязвимостей,  позволяющих организовать выполнение кода при обработке специально оформленных данных в форматах 7-Zip, RAR и mtree. Из приложений, использующих (https://github.com/libarchive/libarchive/wiki/LibarchiveUsers) Libarchive, можно отметить BSD-версии утилит ar, tar, unzip и cpio, пакетные менеджеры Pacman (Arch Linux), XBPS (Void Linux), pkgutils (CRUX) и Paludis, систему сборки CMake, различные файловые менеджеры включая  Nautilus  и Ark, компоненты OS X и Chrome OS. Проблема устранена в выпуске 3.2.1 (https://github.com/libarchive/libarchive/releases). Для дистрибутивов обновления пока не выпущены (RHEL (https://rhn.redhat.com/errata/rhel-server-7-errata.html), Ubuntu (http://www.ubuntu.com/usn/), Debian (https://lists.debian.org/debian-security-announce/2016/threa...), CentOS (http://lists.centos.org/pipermail/centos-announce/2016-June/...), Fedora (https://admin.fedoraproject.org/updates/), openSUSE (http://lists.opensuse.org/opensuse-security-announce/), SLES (https://www.suse.com/support/update/), Gentoo (http://www.gentoo.org/security/en/index.xml)).

-  CVE-2016-4300 (https://security-tracker.debian.org/tracker/CVE-2016-4300) - целочисленное переполнение при обработке файлов 7-Zip;
-  CVE-2016-4301 (https://security-tracker.debian.org/tracker/CVE-2016-4301) - переполнение буфера при обработке данных mtree;
-  CVE-2016-4302 (https://security-tracker.debian.org/tracker/CVE-2016-4302) - переполнение кучи при обработке архивов RAR.

URL: http://blog.talosintel.com/2016/06/the-poisoned-archives.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=44652

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Серия уязвимостей в Libarchive"  –1 +/
Сообщение от iZEN email(ok) on 23-Июн-16, 15:51 
Во FreeBSD -STABLE libarchive вчера обновился.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Серия уязвимостей в Libarchive"  +/
Сообщение от Sluggard (ok) on 24-Июн-16, 00:15 
> различные файловые менеджеры включая Nautilus и Ark

Давно Ark стайл файловым менеджером? Это утилита для управления архивами, фронтенд для консольных архиваторов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Серия уязвимостей в Libarchive"  +/
Сообщение от asavah (ok) on 24-Июн-16, 01:17 
В архивах - файлы.
Ark управляет архивами,Ark управляет и файлами содержащимеся в оных архивах.
Значит Ark - файловый манагер.

логика, йпрст

Но соглашусь, поняша, называть Ark файловым менеджером слегка занадто.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Серия уязвимостей в Libarchive"  +/
Сообщение от lor_anon (ok) on 24-Июн-16, 09:53 
А браузер управляет файлами, получаемыми из интернета.
А человек управляет файлами на своём компьютере.
Веществааа...
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Серия уязвимостей в Libarchive"  +/
Сообщение от chinarulezzz (ok) on 24-Июн-16, 08:20 
> XBPS (Void Linux)
> Для дистрибутивов обновления пока не выпущены

$ xbps-query -p build-date libarchive
2016-06-21 05:38 UTC

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру