[TLP:CLEAR] Libarchive opravuje 4 vysoce závažné zranitelnosti

Knihovna libarchive verzí 3.7.5 opravuje 4 vysoce závažné zranitelnosti [1]. Mimo to je k dispozici také nejnovější verze 3.7.7 [2].

Libarchive - remote code execution (CVE-2024-20696) CVSS 7.3 (High)

Autentizovanému lokálnímu útočníkovi je umožněno vykonat vzdálené spuštění kódu [3][4].

Zranitelnost se nachází v produktu libarchive ve verzích <3.7.5

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 9. 1. 2024.

Libarchive - remote code execution (CVE-2024-26256) CVSS 7.8 (High)

Neautentizovanému lokálnímu útočníkovi je umožněno vykonat vzdálené spuštění kódu skrze zranitelnost způsobující přetečení zásobníku na haldě [5][6].

Zranitelnost se nachází v produktu libarchive ve verzích <3.7.5

CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 9. 4. 2024.

Libarchive - out-of-bound memory access (CVE-2024-48957) CVSS 7.8 (High)

Neautentizovanému lokálnímu útočníkovi je umožněno získat neoprávněný přístup k paměti skrze zranitelnost typu out-of-bounds ve funkci execute_filter_audio v souboru archive_read_support_format_rar.c [7][8][9].

Zranitelnost se nachází v produktu libarchive ve verzích <3.7.5

CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 9. 10. 2024.

Libarchive - out-of-bound memory access (CVE-2024-48958) CVSS 7.8 (High)

Neautentizovanému lokálnímu útočníkovi je umožněno získat neoprávněný přístup k paměti skrze zranitelnost typu out-of-bounds ve funkci execute_filter_delta v souboru archive_read_support_format_rar.c [10][11][12].

Zranitelnost se nachází v produktu libarchive ve verzích <3.7.5

CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 9. 10. 2024.

Publikovala Michaela Ručková dne 15. 10. 2024.

CESNET CERTS Logo