Vulnerabilità in Libarchive. Disponibile la patch

07/11/2019

CVE 2019-18408 Libarchive Vulnerabilità

I ricercatori di Google hanno scoperto una vulnerabilità “use-after-free” in Libarchive che interessa Debian, Ubuntu, Gentoo, Arch Linux, FreeBSD e NetBSD. Windows e macOS non sono interessati.

La vulnerabilità è stata scoperta dai ricercatori, a giugno, utilizzando le piattaforme Fuzzing e OSS-Fuzz ed è stata identificata con CVE-2019-18408. Il bug consentirebbe a un utente malintenzionato di eseguire codice arbitrario su un sistema vulnerabile tramite un file di compresso appositamente predisposto.

La vulnerabilità è già stata risolta con il rilascio della versione 3.4.0 di Libarchive, oltretutto Debian ed altre distribuzioni Linux hanno già implementato funzionalità per proteggere gli utenti dal bug nonostante, al momento, non risultano evidenze di sfuttamento in-the wild.

I dettagli della vulnerabilità sono disponibili sulle pagine di  Seclists.