Библиотека Libarchive, которая используется практически в каждом дистрибутиве Linux для работы с архивами, содержит опасную ошибку. Уязвимость CVE-2026-5121 получила максимальную оценку по шкале CVSS 2.0: 10 из 10 баллов. Речь идёт о целочисленном переполнении в коде библиотеки. Это означает, что злоумышленник может удалённо вывести из строя сервер или систему, заставив их обработать специально подготовленный архив. Проблема была официально зафиксирована в Банке данных угроз безопасности информации (BDU) 27 мая 2026 года под номером BDU:2026-07332.
Детали уязвимости
Библиотека Libarchive - это стандартный инструмент для работы с архивами в Linux-системах. Она встроена в сотни программ, от утилит командной строки до графических менеджеров архивов. Именно эта популярность делает найденную уязвимость особенно опасной. Разработчики обнаружили, что при обработке определённых структур данных внутри архива происходит целочисленное переполнение. В худшем случае этот сбой может позволить нарушителю полностью контролировать затронутую систему.
Базовый вектор CVSS версии 3.1 показывает оценку 9,8 из 10. Это верхняя граница шкалы для любого класса уязвимостей. При этом атака может проводиться удалённо, для неё не требуется аутентификация. Злоумышленнику не нужно иметь никаких привилегий в системе. Достаточно отправить на сервер специально сформированный архивный файл.
Под удар попали практически все крупные корпоративные дистрибутивы Linux. Красная зона охватывает операционные системы Red Hat Enterprise Linux версий 7, 8 и 9 (включая их многочисленные редакции для SAP и телекоммуникаций). Также уязвимы Debian GNU/Linux всех поддерживаемых веток - 11, 12 и 13. Отдельного внимания заслуживает платформа Red Hat OpenShift Container Platform версий от 4.12 до 4.18. Это инструменты для управления контейнерами, которые работают на многих предприятиях.
Для российского рынка особенно тревожная новость: уязвима операционная система РЕД ОС версии 8.0 от компании "Ред Софт". Эта система включена в единый реестр российского программного обеспечения под номером 3751. Таким образом, уязвимость затронула не только глобальных вендоров, но и отечественные продукты.
Для эксплуатации уязвимости злоумышленнику необходимо отправить жертве архивный файл, в котором намеренно изменены внутренние структуры данных. Эти структуры содержат поля длины или размеров. При неверной обработке происходит целочисленное переполнение. В результате программа либо аварийно завершает работу (отказ в обслуживании), либо выполняет произвольный код.
Технически этот класс ошибок классифицируется как CWE-190 - "Целочисленное переполнение или циклический сдвиг". Это не единичный случай, а распространённый тип уязвимостей в системном программном обеспечении, написанном на языках C и C++. Проблема усугубляется тем, что Libarchive - это низкоуровневая библиотека, работающая напрямую с памятью.
Для корпоративных пользователей подобная уязвимость означает прямой риск остановки сервисов. Если злоумышленник сможет вызвать отказ в обслуживании на критически важном сервере, это может привести к потере данных, прерыванию бизнес-процессов и финансовому ущербу. В более тяжёлом сценарии, при успешном выполнении произвольного кода, нарушитель может закрепиться в системе. Есть и ещё один тревожный аспект. Уязвимость присутствует в версиях Libarchive до 3.8.1. В более новых версиях проблема уже устранена, но далеко не все дистрибутивы поддерживают библиотеку в актуальном состоянии. Серверы, работающие без обновлений в течение нескольких месяцев, остаются без защиты.
Производители всех затронутых систем уже подтвердили уязвимость и выпустили исправления. Red Hat, Debian и компания "Ред Софт" опубликовали официальные рекомендации по обновлению. Все необходимые ссылки на патчи доступны в открытых источниках безопасности.
Необходимо понимать: простого перезапуска служб недостаточно. Требуется именно заменить версию библиотеки на исправленную и перезапустить все программы, которые используют Libarchive. В контейнерных средах, таких как Red Hat OpenShift, потребуется обновить сами образы контейнеров и пересобрать рабочие нагрузки.
Уязвимость CVE-2026-5121 - классический пример того, как одна ошибка в фундаментальной библиотеке может поставить под угрозу огромную экосистему. Критический уровень опасности в данном случае не преувеличение. Атака не требует от злоумышленника почти ничего - только сформировать архив. Жертвой может стать любой публичный сервис, который принимает от пользователей файлы или работает с архивами.
Ссылки
- https://bdu.fstec.ru/vul/2026-07332
- https://www.cve.org/CVERecord?id=CVE-2026-5121
- https://access.redhat.com/errata/RHSA-2026:10065
- https://access.redhat.com/errata/RHSA-2026:10097
- https://access.redhat.com/errata/RHSA-2026:11768
- https://access.redhat.com/errata/RHSA-2026:13812
- https://access.redhat.com/errata/RHSA-2026:8510
- https://access.redhat.com/errata/RHSA-2026:8517
- https://access.redhat.com/errata/RHSA-2026:8521
- https://access.redhat.com/errata/RHSA-2026:8534
- https://access.redhat.com/errata/RHSA-2026:8864
- https://access.redhat.com/errata/RHSA-2026:8866
- https://access.redhat.com/errata/RHSA-2026:8867
- https://access.redhat.com/errata/RHSA-2026:8873
- https://access.redhat.com/errata/RHSA-2026:8908
- https://access.redhat.com/errata/RHSA-2026:8944
- https://access.redhat.com/errata/RHSA-2026:9026
- https://access.redhat.com/errata/RHSA-2026:9592
- https://access.redhat.com/errata/RHSA-2026:9832
- https://access.redhat.com/security/cve/CVE-2026-5121
- https://bugzilla.redhat.com/show_bug.cgi?id=2452945
- https://github.com/advisories/GHSA-2vwv-vqpv-v8vc
- https://github.com/libarchive/libarchive/pull/2934
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-5121
- https://access.redhat.com/security/cve/cve-2026-5121
- https://security-tracker.debian.org/tracker/CVE-2026-5121
