Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
tardiff
(any)
Описание
В tardiff, инструменте для сравнения архивов tar, было обнаружено
несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:
CVE-2015-0857
Раинер Мюллер и Флориан Ваймер обнаружили, что tardiff подверген
инъекции команд командной оболочки через метасиволы командной оболочки в именах
файлов в архивах tar или через метасимволы командной оболочки в именах файлов
tar.
CVE-2015-0858
Флориан Ваймер обнаружил, что tardiff используется предсказуемые имена для временных
каталогов при распаковке архивов tar. Злоумышленник может использовать эту уязвимость
для перезаписи файлов, доступ к которым имеется у пользователя, запустившего
команду tardiff.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 0.1-2+deb8u2.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 0.1-5, а также частично в более ранних версиях.
Рекомендуется обновить пакеты tardiff.
несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:
CVE-2015-0857
Раинер Мюллер и Флориан Ваймер обнаружили, что tardiff подверген
инъекции команд командной оболочки через метасиволы командной оболочки в именах
файлов в архивах tar или через метасимволы командной оболочки в именах файлов
tar.
CVE-2015-0858
Флориан Ваймер обнаружил, что tardiff используется предсказуемые имена для временных
каталогов при распаковке архивов tar. Злоумышленник может использовать эту уязвимость
для перезаписи файлов, доступ к которым имеется у пользователя, запустившего
команду tardiff.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 0.1-2+deb8u2.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 0.1-5, а также частично в более ранних версиях.
Рекомендуется обновить пакеты tardiff.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
tardiff - 0.1-2+deb8u2
Debian GNU/Linux 8:
noarch:
tardiff - 0.1-2+deb8u2
Ссылки
http://www.debian.org/security/dsa-3562/
Источник: CVE
Наименование: CVE-2015-0858
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0858
Источник: CVE
Наименование: CVE-2015-0857
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0857
Источник: CVE
Наименование: CVE-2015-0858
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0858
Источник: CVE
Наименование: CVE-2015-0857
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0857