В утилите unrar выявлена уязвимость (CVE-2022-30333), позволяющая при распаковке специально оформленного архива перезаписать файлы вне текущего каталога, насколько это позволяют права пользователя. Проблема устранена в выпусках RAR 6.12 и unrar 6.1.7. Уязвимость проявляется в версиях для Linux, FreeBSD и macOS, но не затрагивает сборки для Android и Windows.
Проблема вызвана отсутствием должной проверки последовательности "/.." в файловых путях, указанных в архиве, что позволяет при распаковке выйти за границы базового каталога. Например, разместив в архиве "../.ssh/authorized_keys" атакующий может попытаться перезаписать файл пользователя "~/.ssh/authorized_keys" в момент распаковки.
Источник: https://www.opennet.ru/opennews/art.shtml?num=57190
(opennet.ru, мини-новости)
[ON] Уязвимость в unrar, позволяющая перезаписать файлы при распаковке архива
Модератор: Модераторы разделов
[ON] Уязвимость в unrar, позволяющая перезаписать файлы при распаковке архива
Последний раз редактировалось rssbot 15.05.2022 10:53, всего редактировалось 1 раз.
Причина: Updated upstream
Причина: Updated upstream