CVE-2023-30571
LowSummary
Libarchive w wersjach do 3.6.2 może powodować, że katalogi mają uprawnienia do zapisu dla wszystkich użytkowników. Wywołanie umask() w pliku archive_write_disk_posix.c zmienia umask całego procesu na krótki czas, co w połączeniu z warunkiem wyścigu z innym wątkiem może prowadzić do trwałego ustawienia umask na 0.
Risk Assessment
Organizacja może być narażona na nieautoryzowany dostęp do danych, ponieważ katalogi mogą być modyfikowane przez dowolnego użytkownika. To zwiększa ryzyko niezamierzonych zmian lub usunięcia ważnych plików.
Recommendation
Zaleca się aktualizację Libarchive do wersji 3.6.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować uprawnienia katalogów w systemie, aby zapobiec nieautoryzowanym zmianom.
Original NVD description (English source)
Libarchive through 3.6.2 can cause directories to have world-writable permissions. The umask() call inside archive_write_disk_posix.c changes the umask of the whole process for a very short period of time; a race condition with another thread can lead to a permanent umask 0 setting. Such a race cond

