Säkerhetsbulletin från Debian

DSA-2863-1 libtar -- katalogtraversering

Rapporterat den:
2014-02-18
Berörda paket:
libtar
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 731860.
I Mitres CVE-förteckning: CVE-2013-4420.
Ytterligare information:

Ett katalogtraverseringsangrepp har rapporterats mot libtar, ett C-bibliotek för att manipulera tar-arkiv. Applikationen validerar inte filnamnen i tar-arkivet, vilket tillåter att extrahera filer i en godtycklig katalog. En angripare kan skapa en tarfil för att åsidosätta filer bortom prefixparametrarna tar_extract_glob och tar_extract_all.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 1.2.11-6+deb6u2.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.2.16-1+deb7u2.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.2.20-2.

Vi rekommenderar att ni uppgraderar era libtar-paket.