Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
tar
(Unknown)
Описание
Уязвимость обхода каталога в функции contains_dot_dot в src/names.c в GNU tar позволяет злоумышленникам, действующим удаленно, перезаписывать произвольные файлы, используя определенные последовательности //.. (слэш слэш точка точка) в каталоге symlinks TAR-архива. Для эксплуатации уязвимости необходимы активные действия со стороны пользователя.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.gnu.org/software/tar/tar.html
http://www.gnu.org/software/tar/tar.html
Ссылки
http://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=251921
REDHAT (RHSA-2007:0860): http://www.redhat.com/support/errata/RHSA-2007-0860.html
BID (25417): http://www.securityfocus.com/bid/25417
REDHAT (RHSA-2007:0860): http://www.redhat.com/support/errata/RHSA-2007-0860.html
BID (25417): http://www.securityfocus.com/bid/25417
