Найден способ взлома крупнейших дистрибутивов Linux. Под ударом Ubuntu, Debian, FreeBSD и другие

Найден способ взлома крупнейших дистрибутивов Linux. Под ударом Ubuntu, Debian, FreeBSD и другие

Спецпроекты

cnews.ru/inc/design2019/img/icons/caret-down.png" alt="">

В многоформатной библиотеке libarchive, используемой в Linux, Windows и macOS, обнаружилась уязвимость, позволяющая запускать произвольный код. Но только под Linux.

Список уязвимостей, выявленных в компонентах Linux в 2019 г., пополнился багом в библиотеке сжатия данных. Обнаруженная экспертами Google уязвимость CVE-2019-18408 позволяет запускать произвольный код в целевой системе.

Многоформатная библиотека libarchive использует единый интерфейс для чтения и записи файлов в различных форматах сжатия. Этой библиотекой пользуются сразу несколько операционных систем, диспетчеров пакетов, архиваторов и файловых браузеров. CVE-2019-18408 затрагивает крупнейшие дистрибутивы Linux, в том числе, Debian, Ubuntu, ArchLinux, FreeBSD и NetBSD.

Библиотека используется и в Windows, и в macOS, но пользователи этих ОС — в безопасности. Сама по себе CVE-2019-18408 — типичный баг класса use-after-free (использование памяти после ее освобождения).

«В libarchive, мультиформатной библиотеке для архивирования и сжатия, было обнаружено использование указателей после освобождения памяти, что может приводить к отказу в обслуживании и выполнению произвольного кода в случае обработки специально сформированного архива», — говорится в описании проблемы на Debian.org.

linuks600.jpg

Иными словами, для успешной эксплуатации уязвимости потребуется заставить конечного пользователя уязвимой системы открыть специально подготовленный архив. Для этого обычно и применяется фишинг.

Индекс угрозе пока не присвоен. Уязвимость исправлена в версии 3.4.0, так что администраторам затронутых систем настоятельно рекомендуется установить это обновление libarchive.

«В течение этого года были выявлены множественные уязвимости в разных компонентах Linux, которые позволяли, в том числе, запускать произвольный код и захватывать контроль над всей системой, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — И это в текущей парадигме разработки ПО нормально и даже естественно. Уязвимости были, есть и будут в любых программных пакетах и операционных системах. Вопрос только в том, насколько активно их ищут и как быстро устраняют. Большинство популярных дистрибутивов Linux подвергаются интенсивному и массовому аудиту, что делает их безопаснее. Тем не менее, ожидать какой-то сверхзащищенности Linux, если это не специализированный дистрибутив, не стоит».

Власти Москвы потратят 1,2 миллиарда на «железо» для системы распознавания лиц

Восьмилетнее воровство военных данных обнаружили после ухода хакеров на пенсию

Кибербезопасность считают стратегическим вопросом лишь в каждой пятой компании мира

В России введут штрафы для покупателей украденных персональных данных

Найден способ воровать деньги через смарт-ТВ. Двухфакторная аутентификация не спасает

Власти написали полный список, чем грозят Рунету заграничные враги

Рынок средств управления мультиоблачными и гибридными моделями стремительно растет.

Сергей Щербинин

CDTO Уральского банка реконструкции и развития

Сергей Щербинин

CDTO Уральского банка реконструкции и развития

Рейтинги CNews

• Топ-100 ИКТ-тендеров для федеральных ведомств • Крупнейшие поставщики • ИКТ-бюджеты регионов

С конца 2018 г. во многих странах ведутся исследования в области связи мобильной связи следующего поколения.

Все права защищены © 1995 – 2019

Материалы, помеченные знаком ■ опубликованы на коммерческой основе