CERT Polska poinformował o dwóch podatnościach w oprogramowaniu GNU gzip, które zostały zarejestrowane jako CVE-2026-41991 i CVE-2026-41992.

Pierwsza podatność (CVE-2026-41991) dotyczy nieprawidłowej obsługi plików tymczasowych w funkcjonalności gzexe. Gdy narzędzie mktemp nie jest dostępne, program konstruuje przewidywalną nazwę pliku tymczasowego używając wyłącznie identyfikatora procesu. Lokalny atakujący może stworzyć link symboliczny i doprowadzić do nadpisania dowolnego pliku zapisywalnego przez ofiarę.

Druga podatność (CVE-2026-41992) to global buffer overflow podczas dekompresji plików LZH. Wynika z nieprawidłowego ponownego wykorzystania wspólnego stanu globalnego między formatami dekompresji LZ77, LZW i LZH w ramach jednego uruchomienia. Poprzez dekompresję spreparowanego pliku LZW, a następnie LZH, atakujący może zatruć stan globalny i spowodować odczyt poza zakresem.

Oba problemy zostały naprawione w najnowszych wersjach oprogramowania. CERT Polska zaleca użytkownikom aktualizację GNU gzip do wersji zawierającej poprawki bezpieczeństwa.

Co to oznacza dla Ciebie

  • Jeśli używasz GNU gzip, sprawdź dostępność aktualizacji dla Twojego systemu operacyjnego i zainstaluj ją jak najszybciej

  • Podatności mogą dotyczyć systemów serwerowych i desktopowych — priorytet dla maszyn dostępnych z sieci lub obsługujących pliki od nieznanych źródeł

  • Monitoruj komunikaty bezpieczeństwa wydawane przez twojego dostawcę systemu operacyjnego


Źródło: CERT Polska