Falha no Libarchive compromete Linux, FreeBSD e NetBSD

Falha no Libarchive compromete Linux, FreeBSD e NetBSD

Uma biblioteca de compactação incluída por padrão em distribuições DebianUbuntuGentooArch Linux, FreeBSD e NetBSD, contém uma vulnerabilidade que pode permitir a hackers executarem código nas máquinas dos usuários. Os sistemas operacionais macOS e Windows, nos quais essa biblioteca também está incluída e usada como um utilitário de descompactação padrão, não foram afetados. A falha no Libarchive que compromete Linux, FreeBSD e NetBSD foi descoberta pelo Google.

Falha CVE-2019-18408 no Libarchive compromete Linux, FreeBSD e NetBSD

A vulnerabilidade afeta o Libarchive, uma biblioteca para ler e criar arquivos compactados. É um poderoso kit de ferramentas tudo-em-um para trabalhar com arquivos compactados. Além disso, também inclui outros utilitários Linux/BSD, como tar, cpio e cat. Portanto, isso o torna ideal para uma ampla variedade de operações e o motivo pelo qual é amplamente adotado nas operações sistemas.

Na semana passada, detalhes sobre um grande bug que afetou a biblioteca foram tornados públicos depois que várias distribuições Linux e FreeBSD lançaram atualizações contendo patches para a versão Libarchive que eles estavam enviando para os usuários.

O bug, rastreado no identificador CVE-2019-18408, permite que um invasor execute código no sistema do usuário por meio de um arquivo malicioso.

Os cenários de exploração incluem usuários que recebem arquivos maliciosos de atacantes ou aplicativos locais que usam os vários componentes do Libarchive para descompactar arquivos.

O bug foi descoberto e corrigido em junho. No entanto, levou algum tempo para que o patch chegasse a todos os sistemas operacionais. A vulnerabilidade foi identificada pelos pesquisadores de segurança do Google usando duas ferramentas automatizadas de teste de código, denominadas ClusterFuzz e OSS-Fuzz, e corrigida no Libarchive 3.4.0.

Poderia ter sido pior

Inclui desktops e sistemas operacionais de servidor, gerenciadores de pacotes, utilitários de segurança, navegadores de arquivos e ferramentas de processamento multimídia. Os nomes maiores incluem pkgutils, Pacman, CMake, Nautilus, arca do KDE e Samba.

Embora os sistemas operacionais impactados tenham implementado atualizações para solucionar o bug relatado, atualmente o status do patch do Libarchive nos outros aplicativos é desconhecido.

Felizmente, Windows e macOS, os dois sistemas operacionais mais populares hoje não são afetados. Caso contrário, o bug teria causado grandes dores de cabeça aos usuários em todo o mundo, assim como um bug do WinRAR no ocorrido este ano.

Até o momento, não há comprovação de que o problema foi explorado.

libarchive-1.png