GLSA 202209-01: GNU Gzip, XZ Utils: Arbitrary file write

Опасность:высокая
Заголовок:GNU Gzip, XZ Utils: Arbitrary file write
Дата:07.09.2022
Ошибки: #837152, #837155
ID:202209-01

Сводка

A vulnerability has been discovered in GNU Gzip and XZ Utils' grep helpers which could result in writes to arbitrary files.

Назначение

GNU Gzip is a popular data compression program. XZ Utils is free general-purpose data compression software with a high compression ratio.

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
app-arch/xz-utils < 5.2.5 >= 5.2.5 All supported architectures
app-arch/gzip < 1.12 >= 1.12 All supported architectures

Описание

GNU Gzip and XZ Utils' grep helpers do not sufficiently validate certain multi-line file names.

Воздействие

In some cases, writing to arbitrary files such as shell initialization files can be escalation to remote code execution.

Обход

Ensuring only trusted input is passed to GNU Gzip and XZ Utils' grep helpers minimizes the potential impact.

Решение

All GNU Gzip users should upgrade to the latest version:

          # emerge --sync
          # emerge --ask --oneshot --verbose ">=app-arch/gzip-1.12"
        

All XZ Utils users should upgrade to the latest version:

# emerge --sync # emerge --ask --oneshot --verbose ">=app-arch/xz-utils-5.2.5"

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-202209-01.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!