Una biblioteca de compresión incluida por defecto en las distribuciones de Debian, Ubuntu, Gentoo, Arch Linux, FreeBSD y NetBSD, contiene una vulnerabilidad (CVE-2019-18408) que puede permitir que se ejecute código arbitrario.
Dado que en los sistemas operativos macOS y Windows se emplea como utilidad de descompresión por defecto bsdtar, no se ven afectados por esta vulnerabilidad pese a incluir también la biblioteca ‘libarchive‘.
Esta biblioteca se emplea para leer y crear archivos comprimidos, proporcionando un potente conjunto de herramientas para trabajar con archivos de almacenamiento que también incluye otras utilidades de Linux / BSD como tar, cpio y cat, aportando una gran versatilidad para realizar diversas operaciones, motivo por el que se ha adoptado ampliamente en muchos sistemas operativos.
Una vez lanzados los parches de seguridad en varios sabores de Linux y FreeBSD, se hicieron públicos los detalles sobre la vulnerabilidad. El error fue catalogado con el identificador CVE-2019-18408. Este permite a un atacante ejecutar código arbitrario en el sistema objetivo a través de un archivo de archivo con formato incorrecto. Los escenarios de explotación incluyen tanto a usuarios que reciben archivos maliciosos de atacantes como a aplicaciones locales que usan los diversos componentes de ‘libarchive‘ para la descompresión de archivos.
Aunque el parche ha tardado un poco en llegar a todos los sistemas operativos, el error fue descubierto y parcheado en junio. Los investigadores de seguridad de Google identificaron la vulnerabilidad utilizando las herramientas automatizadas de prueba de código ClusterFuzz y OSS-Fuzz, y se aplicaron los parches necesarios en la versión 3.4.0 de ‘libarchive‘.
Los objetivos en potencia para ataques que exploten esta vulnerabilidad son numerosos debido a que la lista de sistemas operativos y utilidades de software que emplean la biblioteca ‘libarchive‘ es enorme, incluyendo tanto sistemas operativos de escritorio como de servidor, administradores de paquetes, utilidades de seguridad, exploradores de archivos y herramientas de procesamiento multimedia.
Aunque los sistemas operativos afectados ya han lanzado sus respectivos parches de seguridad, se desconoce si el resto de aplicaciones afectadas han realizado la actualización de seguridad necesaria. Afortunadamente, los sistemas operativos Windows y macOS no se ven afectados.
Más información: