Debian-Sicherheitsankündigung

DSA-1223-1 tar -- Eingabeüberprüfungsfehler

Datum des Berichts:
01. Dez 2006
Betroffene Pakete:
tar
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 399845.
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 21235.
In Mitres CVE-Verzeichnis: CVE-2006-6097.
Weitere Informationen:

Teemu Salmela entdeckte eine Verwundbarkeit in GNU tar, die es einem bösartigen Benutzer erlauben könnte, beliebige Dateien zu überschreiben, indem das Opfer dazu veranlasst wird, zu versuchen, eine speziell erzeugte tar-Datei zu extrahieren, die einen GNUTYPE_NAMES-Eintrag mit einem symbolischen Link enthält.

Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 1.14-2.3 behoben.

Für die Unstable-Distribution (Sid) und die kommende Stable-Distribution (Etch) wird dieses Problem in Version 1.16-2 behoben werden.

Wir empfehlen Ihnen, Ihr tar-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (stable)

Quellcode:
http://security.debian.org/pool/updates/main/t/tar/tar_1.14.orig.tar.gz
http://security.debian.org/pool/updates/main/t/tar/tar_1.14-2.3.diff.gz
http://security.debian.org/pool/updates/main/t/tar/tar_1.14-2.3.dsc
Alpha:
http://security.debian.org/pool/updates/main/t/tar/tar_1.14-2.3_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/t/tar/tar_1.14-2.3_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/t/tar/tar_1.14-2.3_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/t/tar/tar_1.14-2.3_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/t/tar/tar_1.14-2.3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/t/tar/tar_1.14-2.3_ia64.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/t/tar/tar_1.14-2.3_m68k.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/t/tar/tar_1.14-2.3_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/t/tar/tar_1.14-2.3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/t/tar/tar_1.14-2.3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/t/tar/tar_1.14-2.3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/t/tar/tar_1.14-2.3_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.