Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu GNU gzip i koordynował proces ujawniania informacji.

Podatność CVE-2026-41991: GNU gzip niepoprawnie obsługuje pliki tymczasowe w funkcjonalności gzexe. Gdy narzędzie mktemp nie jest dostępne w ścieżce użytkownika (PATH), gzexe korzysta z konstruowania ścieżki pliku tymczasowego opartej jedynie na identyfikatorze procesu (PID). Ta przewidywalna nazwa pliku jest tworzona bez sprawdzania uprawnień do pliku ani czy plik już istnieje. Lokalny atakujący może przewidzieć nazwę i utworzyć link symboliczny wskazujący na dowolny plik zapisywalny przez ofiarę. gzexe po uruchomieniu, śledzi link symboliczny i nadpisuje plik docelowy.

Problem ten został naprawiony w commitcie 4e6f8b24ab823146ab8776f0b7fe486ab34d4269

Podatność CVE-2026-41992: GNU gzip zawiera podatność typu global buffer overflow w procesie dekompresji plików LZH, wynikającą z nieprawidłowego ponownego wykorzystania współdzielonego stanu globalnego pomiędzy różnymi formatami dekompresji w ramach jednego uruchomienia. GNU gzip utrzymuje globalną tablicę, która jest współdzielona między przebiegami dekompresji LZ77, LZW i LZH, i nie jest ponownie inicjalizowana między plikami przetwarzanymi w tym samym wywołaniu. Przez dekompresję spreparowanego pliku LZW, a następnie spreparowanego pliku LZH w jednym poleceniu gzip -d, atakujący może zatruć współdzielony stan globalny i następnie spowodować odczyt poza zakresem w dekoderze LZH.

Problem ten został naprawiony w commitcie 63dbf6b3b9e6e781df1a6a64e609b10e23969681

Podziękowania

Za zgłoszenie podatności dziękujemy Michałowi Majchrowiczowi oraz Marcinowi Wyczechowskiemu z AFINE Team.