GLSA 201611-19: Tar: Extract pathname bypass

Опасность:средняя
Заголовок:Tar: Extract pathname bypass
Дата:22.11.2016
Ошибки: #598334
ID:201611-19

Сводка

A path traversal attack in Tar may lead to the remote execution of arbitrary code.

Назначение

The Tar program provides the ability to create and manipulate tar archives.

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
app-arch/tar < 1.29-r1 >= 1.29-r1 All supported architectures

Описание

Tar attempts to avoid path traversal attacks by removing offending parts of the element name at extract. This sanitizing leads to a vulnerability where the attacker can bypass the path name(s) specified on the command line.

Воздействие

The attacker can create a crafted tar archive that, if extracted by the victim, replaces files and directories the victim has access to in the target directory, regardless of the path name(s) specified on the command line.

Обход

There is no known workaround at this time.

Решение

All Tar users should upgrade to the latest version:

      # emerge --sync
      # emerge --ask --oneshot --verbose ">=app-arch/tar-1.29-r1"
    

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-201611-19.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!