Grave vulnerabilità in Libarchive: coinvolti Linux, FreeBSD e NetBSD
Google ha scoperto un bug che coinvolge Libarchive, una libreria di de/compressione inclusa di default in tantissime distro GNU/Linux, come Debian, Ubuntu, Gentoo, Arch Linux ma anche in FreeBSD e NetBSD. Libarchive contiene una vulnerabilità che consente l’esecuzione di codice arbitrario.
Tale libreria è presente anche su macOS e Windows ma i sistemi operativi di Apple e Microsoft non sono affetti dal bug.
Linux, e CVE-2019-18408 per Libarchive
Libarchive è una libreria per la lettura e la creazione di file compressi. È un potente toolkit all-in-one per lavorare con file compressi che raggruppa anche altre utility come tar, cpio e cat rendendolo ideale per un’ampia varietà di operazioni: per questo motivo è così ampiamente adottato su Linux.
La vulnerabilità è stata scoperta dai ricercatori a giugno, utilizzando le piattaforme Fuzzing e OSS-Fuzz ed è stata identificata con CVE-2019-18408. Il bug consentiva a un utente malintenzionato di eseguire codice arbitrario su un sistema vulnerabile tramite un file compresso appositamente predisposto.
La lista di utilities, browsers, processing tools, etc che usano tale libreria è molto lunga: pkgutils, Pacman, CMake, Nautilus, Samba, etc. Ad oggi non si è a conoscenza di alcun exploit che sfrutti questa vulnerabilità o di tentativi di sfruttamento in the wild.
La vulnerabilità comunque è già stata risolta: è però necessario aggiornare la propria distribuzione Linux alla versione 3.4.0 di Libarchive.
Seguiteci sul nostro canale Telegram e sulla nostra pagina Facebook. Inoltre è possibile seguire il nostro canale ufficiale Telegram dedicato ad Offerte e Promo! Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.
Fonte: https://www.lffl.org/2019/11/grave-vulnerabilita-in-libarchive-coinvolti-linux-freebsd-e-netbsd.html
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.