Рекомендация Debian по безопасности

DSA-3778-1 ruby-archive-tar-minitar -- обновление безопасности

Дата сообщения:
31.01.2017
Затронутые пакеты:
ruby-archive-tar-minitar
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 853249.
В каталоге Mitre CVE: CVE-2016-10173.
Более подробная информация:

Михал Марек обнаружил, что ruby-archive-tar-minitar, библиотека Ruby, предоставляющая возможности для обработки tar-архивов стандарта POSIX, уязвима к обходу каталога. Злоумышленник может использовать эту уязвимость для перезаписи произвольных файлов в ходе распаковки с помощью двух точек (..) в имени распаковываемого файла.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 0.5.2-2+deb8u1.

Рекомендуется обновить пакеты ruby-archive-tar-minitar.