Информация по безопасности / 2016 / Информация о безопасности -- DSA-3562-1 tardiff

Рекомендация Debian по безопасности

DSA-3562-1 tardiff -- обновление безопасности

Дата сообщения:

01.05.2016

Затронутые пакеты:

tardiff

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-0857, CVE-2015-0858.

Более подробная информация:

В tardiff, инструменте для сравнения архивов tar, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2015-0857

  Райнер Мюллер и Флориан Ваймер обнаружили, что tardiff подвержен инъекции команд командной оболочки через метасиволы командной оболочки в именах файлов в архивах tar или через метасимволы командной оболочки в именах файлов tar.

• CVE-2015-0858

  Флориан Ваймер обнаружил, что tardiff использует предсказуемые имена для временных каталогов при распаковке архивов tar. Злоумышленник может использовать эту уязвимость для перезаписи файлов, доступ к которым имеется у пользователя, запустившего команду tardiff.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 0.1-2+deb8u2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 0.1-5, а также частично в более ранних версиях.

Рекомендуется обновить пакеты tardiff.