Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2863-1 libtar

Debians sikkerhedsbulletin

DSA-2863-1 libtar -- mappegennemløb

Rapporteret den:

18. feb 2014

Berørte pakker:

libtar

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 731860.
I Mitres CVE-ordbog: CVE-2013-4420.

Yderligere oplysninger:

Et mappegennemløbsangreb blev rapporteret mod libtar, et C-bibliotek til behandling af tar-arkiver. Applikationen validerede ikke filnavne inde i tar-arkivet, hvilket gjorde det muligt at udpakke filer på en vilkårlig sti. En angriber kunne fabrikere en tar-fil med det formål at overskrive filer uden for rækkevidde af præfiksparametrene tar_extract_glob og tar_extract_all.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 1.2.11-6+deb6u2.

I den stabile distribution (wheezy), er dette problem rettet i version 1.2.16-1+deb7u2.

I den ustabile distribution (sid), er dette problem rettet i version 1.2.20-2.

Vi anbefaler at du opgraderer dine libtar-pakker.