В мире open-source-инструментов, где каждый байт кода проходит тысячи проверок, иногда случаются промахи, чреватые серьёзными последствиями. На днях была официально зарегистрирована новая уязвимость CVE-2026-42250, которая затронула один из старейших и наиболее распространённых архиваторов - bzip2. Речь идёт об ошибке в утилите bzip2recover, предназначенной для восстановления повреждённых архивов.
Уязвимость CVE-2026-42250
bzip2 встроен в огромное количество операционных систем, дистрибутивов Linux, встраиваемых устройств и серверных решений. Любая серьёзная проблема в нём создаёт угрозу стабильности работы сотен тысяч систем по всему миру. На этот раз атака не направлена на кражу данных или получение контроля над сервером, однако вектор отказа в обслуживании (denial of service) может быть не менее опасен для критически важной инфраструктуры.
Суть уязвимости кроется в ошибке, которую специалисты называют off-by-one (ошибка "выхода за границу массива на единицу"). Давайте разберёмся, что это значит. В программировании, когда разработчик резервирует память под массив данных, важна каждая единица. Ошибка off-by-one возникает, когда код пытается записать или прочитать данные на одну позицию мимо отведённой границы. В случае с CVE-2026-42250 такая ошибка присутствует в функции bzip2recover. Когда утилита обрабатывает специальным образом сформированный файл, происходит запись за пределы выделенного глобального буфера памяти. Иными словами, приложение начинает писать данные в область, которая ему не принадлежит.
Подобное нарушение границ памяти (out-of-bounds write) влечёт за собой повреждение памяти. В результате bzip2 не может корректно завершить операцию и аварийно завершается - происходит краш. Для злоумышленника это означает возможность вывести из строя систему с помощью единственного вредоносного файла. Если такой файл попадёт на сервер, где автоматически запускается bzip2recover (например, в почтовую систему, разбирающую вложения, или в облачное хранилище), процесс может быть прерван, а вместе с ним - остановка обслуживания легитимных запросов.
Важно понимать, что данный вектор атаки не предусматривает удалённого выполнения кода или заражения системе. Речь идёт исключительно об отказе в обслуживании. Тем не менее, для компаний, которые полагаются на uptime (доступность) своих сервисов, даже кратковременный сбой может обернуться финансовыми потерями и репутационным ущербом. Впрочем, оценки по шкале CVSS (Common Vulnerability Scoring System - общепринятая система оценки критичности уязвимостей) показывают средний уровень опасности - 5,1 балла из десяти. Это объясняется необходимостью локального доступа у потенциального злоумышленника: он должен иметь возможность загрузить вредоносный файл в систему.
Теперь о самом важном - о том, как защититься. Разработчики bzip2 уже выпустили исправление. Ошибка полностью устранена в версии 1.0.9. Уязвимыми считаются все сборки, выпущенные до указанного релиза, начиная с самых ранних версий. Если ваша система использует bzip2, настоятельно рекомендуется проверить установленную версию и, если она не достигает 1.0.9, выполнить обновление. В большинстве современных дистрибутивов Linux обновление уже должно быть доступно через стандартные репозитории. Системным администраторам стоит обратить внимание на случаи, когда bzip2recover используется в скриптах автоматической обработки архивов, - такие конвейеры особенно уязвимы ко внезапным падениям.
Показательно, что ошибка была обнаружена и исправлена. Хотя CVE-2026-42250 не вызывает утечку конфиденциальных данных, она напоминает о важности тщательного тестирования даже самых простых и надёжных инструментов. bzip2 является фундаментальным строительным блоком многих цифровых систем, и любой изъян в таком блоке может привести к незапланированным простоям. Рекомендация для всех специалистов, отвечающих за безопасность инфраструктуры, проста: не откладывайте обновление библиотек сжатия на потом. В мире кибербезопасности даже небольшой недосмотр, подобный выходу за границу памяти на один байт, способен привести к масштабным последствиям. Своевременное обновление до версии 1.0.9 полностью устраняет угрозу и восстанавливает стабильность работы ваших систем.
Ссылки
