Архиватор RAR популярен в ОС семейства Windows, а в Linux используют TAR. Но что делать пользователю, если он работает в Линуксе, а ему срочно нужно распаковать файл с расширением .rar? Расскажем об этом подробнее...
В утилите unrar выявлена уязвимость (CVE-2022-30333), позволяющая при распаковке специально оформленного архива перезаписать файлы вне текущего каталога, насколько это позволяют права пользователя. Проблема устранена в выпусках RAR 6.12 и unrar 6.1.7. Уязвимость проявляется в версиях для Linux, FreeBSD и macOS, но не затрагивает сборки для Android и Windows. Проблема вызвана отсутствием должной проверки последовательности "/.." в файловых путях, указанных в архиве, что позволяет при распаковке выйти за границы базового каталога. Например, разместив в архиве "../.ssh/authorized_keys" атакующий может попытаться перезаписать файл пользователя "~/.ssh/authorized_keys" в момент распаковки. www.opennet.ru/...190