14 сентября состоялся корректирующий выпуск 3.7.5 библиотеки libarchive, с устранением многих ошибок и уязвимостей. Библиотека и сопутствующие утилиты написаны на языке C и распространяются по лицензии New BSD.
Исправления уязвимостей:
- многочисленные уязвимости, выявленные с помощью Microsoft SAST;
cpio
: возможное (fuzz-тест) переполнение знаковых 64-битных промежуточных значенийgid/uid/size/ino
при разборе архивовAFIO
(разновидностьCPIO
);lzop
: предотвращение целочисленного переполнения;rar4
: предотвращение копирования слишком большого значения вint
в функцииcopy_from_lzss_window_to_unp
(CVE-2024-20696);rar4
: удалённое выполнение кода (CVE-2024-26256, CVS-2024-26256);rar4
: OOB в фильтрахaudio
иdelta
;rar4
: выход за пределы диапазона при работе с большими файлами;rar4
: в фильтрrgb
добавлена проверка на выход за пределы диапазона;rar4
: OOB при чтении архива с юникодными именами файлов внутри;rar5
: теперь кэшdata ready
очищается при перераспределении памяти буфера;rpm
: корректное вычисление размера заголовков;unzip
: выход за границы и неопределённое содержимое памяти, если при распаковке (при выборе[r]ename
) в имени файла есть EOF;- выход за пределы в функции
mktemp
; uu
: OOB при обработке строк более 34816 байтов.
Также исправлены другие ошибки чтения архивов в форматах 7zip
, ar
, lha
, shar
, rar5
и xar
. Внесены многочисленные исправления для ОС Windows.
>>> Подробности