• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3562-1 tardiff -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3562-1 tardiff -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
tardiff (any)
Описание
В tardiff, инструменте для сравнения архивов tar, было обнаружено
несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:

CVE-2015-0857
Раинер Мюллер и Флориан Ваймер обнаружили, что tardiff подверген
    инъекции команд командной оболочки через метасиволы командной оболочки в именах
    файлов в архивах tar или через метасимволы командной оболочки в именах файлов
    tar.
CVE-2015-0858
Флориан Ваймер обнаружил, что tardiff используется предсказуемые имена для временных
    каталогов при распаковке архивов tar. Злоумышленник может использовать эту уязвимость
    для перезаписи файлов, доступ к которым имеется у пользователя, запустившего
    команду tardiff.

В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 0.1-2+deb8u2.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 0.1-5, а также частично в более ранних версиях.
Рекомендуется обновить пакеты tardiff.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
tardiff - 0.1-2+deb8u2
Ссылки
http://www.debian.org/security/dsa-3562/

Источник: CVE
Наименование: CVE-2015-0858
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0858

Источник: CVE
Наименование: CVE-2015-0857
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0857