Maverick Chung

**Nome do software vulnerável e versões afetadas** GNU cpio versões 2.13 e anteriores **Descrição** O problema é causado por um estouro de inteiro no componente dstring.c do pacote GNU cpio, especificamente na função `ds fgetstr`. Esse estouro desencadeia uma gravação fora dos limites da pilha (heap), permitindo que invasores executem código arbitrário por meio de um arquivo de padrão malicioso associado à opção -E. Não está claro se há casos comuns em que o arquivo de padrão seja composto por dados não confiáveis. **Recomendações** Para as versões 2.13 e anteriores do GNU cpio, considere desativar o uso de arquivos de padrão criados com a opção -E até que um patch esteja disponível. Como solução temporária, restrinja o uso da função `ds fgetstr` no componente dstring.c para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.