PT-2022-2115 · Unknown+9 · Libarchive+9

Icycityone

·

Publicado

2022-02-25

·

Atualizado

2024-11-11

·

CVE-2022-26280

CVSS v2.0

9.4

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:C
Nome do software vulnerável e versões afetadas
libarchive versão 3.6.0
Descrição
O problema está relacionado a uma leitura fora dos limites por meio da função zipx lzma alone init() na biblioteca libarchive. Isso pode permitir que um invasor remoto divulgue informações protegidas ou cause uma negação de serviço. A vulnerabilidade está associada a uma leitura de buffer além dos limites na memória.
Recomendações
Para a versão 3.6.0 da libarchive, considere atualizar para uma versão mais recente que inclua correções para os problemas de leitura fora dos limites, tais como correções para o leitor 7zip, o leitor ZIP, o leitor ISO e o leitor RARv4. Como solução temporária, considere restringir o uso da função zipx lzma alone init() até que um patch esteja disponível.

Exploit

Correção

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

ALSA-2022:5252
ALT-PU-2022-2939
ALT-PU-2022-2940
ALT-PU-2022-2973
ALT-PU-2022-3332
AZL-9210
BDU:2022-01973
CVE-2022-26280
DLA-3950-1
MGASA-2022-0142
OESA-2022-1742
OPENSUSE-SU-2022_1803-1
OPENSUSE-SU-2022_1930-1
OPENSUSE-SU-2024:13549-1
RHSA-2022:5252
RHSA-2022_5252
RLSA-2022:5252
SUSE-SU-2022:1803-1
SUSE-SU-2022:1930-1
SUSE-SU-2022_1803-1
USN-5374-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Libarchive