libarchive 3.7.5

good-penguin.png

14 сентября состоялся корректирующий выпуск 3.7.5 библиотеки libarchive, с устранением многих ошибок и уязвимостей. Библиотека и сопутствующие утилиты написаны на языке C и распространяются по лицензии New BSD.

Исправления уязвимостей:

  • многочисленные уязвимости, выявленные с помощью Microsoft SAST;
  • cpio: возможное (fuzz-тест) переполнение знаковых 64-битных промежуточных значений gid/uid/size/ino при разборе архивов AFIO (разновидность CPIO);
  • lzop: предотвращение целочисленного переполнения;
  • rar4: предотвращение копирования слишком большого значения в int в функции copy_from_lzss_window_to_unp (CVE-2024–20696);
  • rar4: удалённое выполнение кода (CVE-2024–26256, CVS-2024–26256);
  • rar4: OOB в фильтрах audio и delta;
  • rar4: выход за пределы диапазона при работе с большими файлами;
  • rar4: в фильтр rgb добавлена проверка на выход за пределы диапазона;
  • rar4: OOB при чтении архива с юникодными именами файлов внутри;
  • rar5: теперь кэш data ready очищается при перераспределении памяти буфера;
  • rpm: корректное вычисление размера заголовков;
  • unzip: выход за границы и неопределённое содержимое памяти, если при распаковке (при выборе [r]ename) в имени файла есть EOF;
  • выход за пределы в функции mktemp;
  • uu: OOB при обработке строк более 34816 байтов.

Также исправлены другие ошибки чтения архивов в форматах 7zip, ar, lha, shar, rar5 и xar. Внесены многочисленные исправления для ОС Windows.

>>> Подробности

©  Linux.org.ru