正文

GNU Tar 安全绕过漏洞

admin
admin V管理员 /0 评论 /11 阅读
0113
此篇文章发布距今已超过1255天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

GNU Tar 安全绕过漏洞

  • CNNVD编号:CNNVD-201610-822
    • <!--
  • 危害等级: 高危-->
  • 危害等级: 高危
  • CVE编号: CVE-2016-6321
  • 漏洞类型: 路径遍历
  • 发布时间: 2016-10-28
  • 威胁类型: 远程
  • 更新时间: 2021-06-30
  • 厂        商: gnu
  • 漏洞来源: Harry Sintonen fro...

漏洞简介

GNU Tar是GNU计划开发的一套用于创建tar格式文件的工具。

GNU tar 1.14至1.29版本中的‘safer_name_suffix’函数存在目录遍历漏洞,该漏洞源于程序没有正确的过滤‘file_name’参数。远程攻击者可利用该漏洞绕过既定的保护机制并写入任意代码。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

http://lists.gnu.org/archive/html/bug-tar/2016-10/msg00016.html

参考网址

来源:MISC

链接:https://packetstormsecurity.com/files/139370/GNU-tar-1.29-Extract-Pathname-Bypass.html

来源:GENTOO

链接:https://security.gentoo.org/glsa/201611-19

来源:BID

链接:https://www.securityfocus.com/bid/93937

来源:MLIST

链接:https://lists.apache.org/thread.html/r58af02e294bd07f487e2c64ffc0a29b837db5600e33b6e698b9d696b@%3Cissues.bookkeeper.apache.org%3E

来源:MLIST

链接:https://lists.apache.org/thread.html/rf4c02775860db415b4955778a131c2795223f61cb8c6a450893651e4@%3Cissues.bookkeeper.apache.org%3E

来源:UBUNTU

链接:http://www.ubuntu.com/usn/USN-3132-1

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2016/Oct/102

来源:MISC

链接:https://sintonen.fi/advisories/tar-extract-pathname-bypass.proper.txt

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2016/Oct/96

来源:CONFIRM

链接:http://git.savannah.gnu.org/cgit/tar.git/commit/?id=7340f67b9860ea0531c1450e5aa261c50f67165d

来源:MLIST

链接:http://lists.gnu.org/archive/html/bug-tar/2016-10/msg00016.html

来源:DEBIAN

链接:https://www.debian.org/security/2016/dsa-3702

受影响实体

  • Gnu Tar:1.20  
    <!--
    2000-1-1
    -->
  • Gnu Tar:1.18  
    <!--
    2000-1-1
    -->
  • Gnu Tar:1.19  
    <!--
    2000-1-1
    -->
  • Gnu Tar:1.17  
    <!--
    2000-1-1
    -->
  • Gnu Tar:1.16  
    <!--
    2000-1-1
    -->

补丁

  • GNU Tar 安全绕过漏洞的修复措施
    <!--
    2016-10-28
    -->