Debian セキュリティ勧告

DSA-2863-1 libtar -- ディレクトリトラバーサル

報告日時:
2014-02-18
影響を受けるパッケージ:
libtar
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 731860.
Mitre の CVE 辞書: CVE-2013-4420.
詳細:

libtar、tar アーカイブ操作用 C ライブラリに対するディレクトリトラバーサル攻撃が報告されています。アプリケーションが tar アーカイブ内のファイル名を検証していないことにより、 任意のパスへのファイルの抽出を許します。攻撃者は tar ファイルに細工することで tar_extract_glob や tar_extract_all の prefix パラメータより優先させてファイルを上書きできます。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 1.2.11-6+deb6u2 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.2.16-1+deb7u2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.2.20-2 で修正されています。

直ちに libtar パッケージをアップグレードすることを勧めます。