信息来源:HackerNews
Debian,Ubuntu,Gentoo,Arch Linux,FreeBSD和NetBSD 使用的压缩库有一个漏洞,该漏洞可能使黑客能够在用户计算机上执行代码。
macOS和Windows操作系统不受该漏洞影响。
CVE-2019-18408
该漏洞影响了Libarchive(一个用于读取和创建压缩文件的库)。它是一个功能强大的多合一工具包,用于处理存档文件,该工具包还捆绑了其他Linux / BSD实用程序(例如tar,cpio和cat),使其成为各种操作的理想选择,也是其在操作中被广泛采用的原因系统。
上周,Linux和FreeBSD在发布更新(其中包含Libarchive补丁)之后公开了该漏洞的具体信息。
该漏洞的代号为CVE-2019-18408,攻击者可以通过文件在用户系统上执行代码。谷歌安全研究人员使用两个名为ClusterFuzz和OSS-Fuzz的自动代码测试工具识别了该漏洞,并且漏洞在Libarchive 3.4.0版本中得到了修复。
影响可能会更糟
使用Libarchive的操作系统和程序非常之多,这也给黑客提供了很多机会。
受影响的包括台式机和服务器操作系统,程序包管理器,安全实用程序,文件浏览器和多媒体处理工具。比如 pkgutils,Pacman,CMake,Nautilus,KDE的方舟和Samba。
尽管受影响的操作系统已推出更新,但其他应用程序中Libarchive的补丁程序状态目前未知。
值得庆幸的是,Windows和macOS这两种当今最受欢迎的操作系统均未受到影响。