| CVE ID | CVE-2026-41991 |
| Data publikacji | 29 czerwca 2026 |
| Producent podatnego oprogramowania | GNU |
| Nazwa podatnego oprogramowania | gzip |
| Podatne wersje | Wszystkie do 1.14 włącznie |
| Typ podatności (CWE) | Insecure Temporary File (CWE-377) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-41992 |
| Data publikacji | 29 czerwca 2026 |
| Producent podatnego oprogramowania | GNU |
| Nazwa podatnego oprogramowania | gzip |
| Podatne wersje | Wszystkie do 1.14 włącznie |
| Typ podatności (CWE) | Buffer Over-read (CWE-126) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu GNU gzip i koordynował proces ujawniania informacji.
Podatność CVE-2026-41991: GNU gzip niepoprawnie obsługuje pliki tymczasowe w funkcjonalności gzexe. Gdy narzędzie mktemp nie jest dostępne w ścieżce użytkownika (PATH), gzexe korzysta z konstruowania ścieżki pliku tymczasowego opartej jedynie na identyfikatorze procesu (PID). Ta przewidywalna nazwa pliku jest tworzona bez sprawdzania uprawnień do pliku ani czy plik już istnieje.
Lokalny atakujący może przewidzieć nazwę i utworzyć link symboliczny wskazujący na dowolny plik zapisywalny przez ofiarę. gzexe po uruchomieniu, śledzi link symboliczny i nadpisuje plik docelowy.
Problem ten został naprawiony w commitcie 4e6f8b24ab823146ab8776f0b7fe486ab34d4269
Podatność CVE-2026-41992: GNU gzip zawiera podatność typu global buffer overflow w procesie dekompresji plików LZH, wynikającą z nieprawidłowego ponownego wykorzystania współdzielonego stanu globalnego pomiędzy różnymi formatami dekompresji w ramach jednego uruchomienia. GNU gzip utrzymuje globalną tablicę, która jest współdzielona między przebiegami dekompresji LZ77, LZW i LZH, i nie jest ponownie inicjalizowana między plikami przetwarzanymi w tym samym wywołaniu. Przez dekompresję spreparowanego pliku LZW, a następnie spreparowanego pliku LZH w jednym poleceniu gzip -d, atakujący może zatruć współdzielony stan globalny i następnie spowodować odczyt poza zakresem w dekoderze LZH.
Problem ten został naprawiony w commitcie 63dbf6b3b9e6e781df1a6a64e609b10e23969681
Podziękowania
Za zgłoszenie podatności dziękujemy Michałowi Majchrowiczowi oraz Marcinowi Wyczechowskiemu z AFINE Team.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.