Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
ruby-archive-tar-minitar
(any)
Описание
Михал Марек обнаружил, что ruby-archive-tar-minitar, библиотека Ruby,
предоставляющая возможности для обработки tar-архивов стандарта POSIX,
уязвима к обходу каталога. Злоумышленник может использовать
эту уязвимость для перезаписи произвольных файлов в ходе распаковки
с помощью двух точек (..) в имени распаковываемого файла.
В стабильном выпуске (jessie) эта проблема была исправлена в
версии 0.5.2-2+deb8u1.
Рекомендуется обновить пакеты ruby-archive-tar-minitar.
предоставляющая возможности для обработки tar-архивов стандарта POSIX,
уязвима к обходу каталога. Злоумышленник может использовать
эту уязвимость для перезаписи произвольных файлов в ходе распаковки
с помощью двух точек (..) в имени распаковываемого файла.
В стабильном выпуске (jessie) эта проблема была исправлена в
версии 0.5.2-2+deb8u1.
Рекомендуется обновить пакеты ruby-archive-tar-minitar.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
ruby-archive-tar-minitar - 0.5.2-2+deb8u1
Debian GNU/Linux 8:
noarch:
ruby-archive-tar-minitar - 0.5.2-2+deb8u1
Ссылки
http://www.debian.org/security/dsa-3778/
Источник: CVE
Наименование: CVE-2016-10173
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10173
Источник: CVE
Наименование: CVE-2016-10173
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10173