ALT-PU-2024-13435-1 — libarchive

BDU:2023-05007

MEDIUM5.3

Уязвимость функции umask() компонента archive_write_disk_posix.c библиотеки Libarchive, позволяющая нарушителю удалять и переименовывать файлы внутри каталогов

Опубликовано: 2023-08-31Изменено: 2026-01-27

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:H

CVSS 2.0СРЕДНЯЯ 4.5

CVSS:2.0/AV:L/AC:H/Au:S/C:N/I:P/A:C

Ссылки

CVE-2023-30571

BDU:2024-00408

HIGH7.3

Уязвимость библиотеки Libarchive операционной системы Windows, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2024-01-18Изменено: 2026-01-27

CVSS 3.xВЫСОКАЯ 7.3

CVSS:3.x/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

CVSS 2.0СРЕДНЯЯ 6.8

CVSS:2.0/AV:L/AC:L/Au:S/C:C/I:C/A:C

Ссылки

CVE-2024-20696

BDU:2024-02924

HIGH7.8

Уязвимость библиотеки архивирования libarchive операционных систем Windows, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2024-04-16Изменено: 2026-01-27

CVSS 3.xВЫСОКАЯ 7.8

CVSS:3.x/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVSS 2.0ВЫСОКАЯ 7.2

CVSS:2.0/AV:L/AC:L/Au:N/C:C/I:C/A:C

Ссылки

CVE-2024-26256

BDU:2024-04626

MEDIUM6.5

Уязвимость библиотеки libarchive, связанная с чтением за границами буфера памяти, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2024-06-18Изменено: 2026-01-27

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2024-37407

CVE-2023-30571

MEDIUM5.3

Libarchive through 3.6.2 can cause directories to have world-writable permissions. The umask() call inside archive_write_disk_posix.c changes the umask of the whole process for a very short period of time; a race condition with another thread can lead to a permanent umask 0 setting. Such a race condition could lead to implicit directory creation with permissions 0777 (without the sticky bit), which means that any low-privileged local user can delete and rename files inside those directories.

Опубликовано: 2023-05-29Изменено: 2025-01-14

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:H

Ссылки

CVE-2024-20696

HIGH7.3

Windows libarchive Remote Code Execution Vulnerability

Опубликовано: 2024-01-09Изменено: 2025-11-03

CVSS 3.xВЫСОКАЯ 7.3

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Ссылки

CVE-2024-26256

HIGH7.8

Libarchive Remote Code Execution Vulnerability

Опубликовано: 2024-04-09Изменено: 2025-01-08

CVSS 3.xВЫСОКАЯ 7.8

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Ссылки

CVE-2024-37407

CRITICAL9.1

Libarchive before 3.7.4 allows name out-of-bounds access when a ZIP archive has an empty-name file and mac-ext is enabled. This occurs in slurp_central_directory in archive_read_support_format_zip.c.

Опубликовано: 2024-06-08Изменено: 2025-04-29

CVSS 3.xКРИТИЧЕСКАЯ 9.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H

Ссылки

Обновление пакета libarchive в ветке sisyphus_e2k

Закрытые проблемы (8)

Уязвимость функции umask() компонента archive_write_disk_posix.c библиотеки Libarchive, позволяющая нарушителю удалять и переименовывать файлы внутри каталогов

Уязвимость библиотеки Libarchive операционной системы Windows, позволяющая нарушителю выполнить произвольный код

Уязвимость библиотеки архивирования libarchive операционных систем Windows, позволяющая нарушителю выполнить произвольный код

Уязвимость библиотеки libarchive, связанная с чтением за границами буфера памяти, позволяющая нарушителю вызвать отказ в обслуживании

Windows libarchive Remote Code Execution Vulnerability

Libarchive Remote Code Execution Vulnerability

Libarchive before 3.7.4 allows name out-of-bounds access when a ZIP archive has an empty-name file and mac-ext is enabled. This occurs in slurp_central_directory in archive_read_support_format_zip.c.