CERT Polska poinformował o dwóch podatnościach w oprogramowaniu GNU gzip, które zostały zarejestrowane jako CVE-2026-41991 i CVE-2026-41992.
Pierwsza podatność (CVE-2026-41991) dotyczy nieprawidłowej obsługi plików tymczasowych w funkcjonalności gzexe. Gdy narzędzie mktemp nie jest dostępne, program konstruuje przewidywalną nazwę pliku tymczasowego używając wyłącznie identyfikatora procesu. Lokalny atakujący może stworzyć link symboliczny i doprowadzić do nadpisania dowolnego pliku zapisywalnego przez ofiarę.
Druga podatność (CVE-2026-41992) to global buffer overflow podczas dekompresji plików LZH. Wynika z nieprawidłowego ponownego wykorzystania wspólnego stanu globalnego między formatami dekompresji LZ77, LZW i LZH w ramach jednego uruchomienia. Poprzez dekompresję spreparowanego pliku LZW, a następnie LZH, atakujący może zatruć stan globalny i spowodować odczyt poza zakresem.
Oba problemy zostały naprawione w najnowszych wersjach oprogramowania. CERT Polska zaleca użytkownikom aktualizację GNU gzip do wersji zawierającej poprawki bezpieczeństwa.
Co to oznacza dla Ciebie
Jeśli używasz GNU gzip, sprawdź dostępność aktualizacji dla Twojego systemu operacyjnego i zainstaluj ją jak najszybciej
Podatności mogą dotyczyć systemów serwerowych i desktopowych — priorytet dla maszyn dostępnych z sieci lub obsługujących pliki od nieznanych źródeł
Monitoruj komunikaty bezpieczeństwa wydawane przez twojego dostawcę systemu operacyjnego
Źródło: CERT Polska
Komentarze (0)
Brak komentarzy. Dodaj pierwszy komentarz.